[SPIP] PUBLIE : |attribut_url

SPIP-contrib · Mai 30, 2024, 10:20

SPIP

Article validé

L’article « |attribut_url (|attribut_url - SPIP) »
vient d’être publié par b_b.

|attribut_url

jeudi 30 mai 2024 , par erational ,
JLuc

Sommaire

Voir aussi

Le filtre |attribut_url doit être appliqué à une balise lorsque
celle-ci est utilisée comme attribut href ou src d’une balise HTML
afin de sécuriser cet usage.

Ce filtre est donc l’équivalent de attribut_html
(SPIP) adapté aux
urls, car celui-ci effectue des changements qui casseraient les urls.

Exemples :

[<a href="(#ENV*{lien}|attribut_url)">]

Dans le modèle squelettes-dist/modeles/favicon.html, le filtre
|attribut_url sécurise la balise #ENV*{favicon} qui vient de
l’environnement et dont le contenu peut être dangereux.

[]

Voir aussi|Retour au sommaire

|attribut_html
(SPIP)

— Envoyé par SPIP (https://www.spip.net/)

Emmanuel_GUILLEMONT · Juin 2, 2024, 7:06

*« Le filtre |attribut_url doit être appliqué à une balise lorsque celle-ci est utilisée comme attribut `href» *
Cela veut-il dire que l’utilisation de ce filtre est nécessaire pour les balises #URL_ARTICLE, #URL_RUBRIQUE etc… quand on les utilise dans un squelette par exemple au lieu d’écrire :
’ <BOUCLE_menu(ARTICLES){id_rubrique}><a href="#URL_ARTICLE" title="#TITRE>Consulter l’article <BOUCLE_menu> ’
Il faudrait désormais écrire
‹ <BOUCLE_menu(ARTICLES){id_rubrique}><a href="[(#URL_ARTICLE|attribut_url)]" title="#TITRE>Consulter l’article <BOUCLE_menu> › ?

RealET · Juin 3, 2024, 7:33

Nécessaire, non.

Bonne pratique : oui.

L’idée, c’est de le faire partout, même quand ça n’est pas nécessaire pour que ça soit propre partout (risque de XSS dans de rares cas, en particulier avec #ENV*).