[SPIP Zone] Bug safehtml et #NOTES

Archives Zone
1

Yop,

en train de bidouiller sur le wiki je me rends comptes que [(#NOTES|safehtml)] vire les id sur les <div> qui entourent les notes, et que donc les liens vers les ancres ne sont font plus.

Les <div id="nb1"> se retrouvent en <div> tous nus.

C'est vérifiable sur le carnet actuel :
https://contrib.spip.net/Saisies-faire-son-marche#nb1

Problème connu ?

--
nicod_

2

Hop,

Le 01/04/2018 à 19:00, nicod_ a écrit :

Yop,

en train de bidouiller sur le wiki je me rends comptes que [(#NOTES|safehtml)] vire les id sur les <div> qui entourent les notes, et que donc les liens vers les ancres ne sont font plus.

Les <div id="nb1"> se retrouvent en <div> tous nus.

C'est vérifiable sur le carnet actuel :
Saisies : faire son marché

Problème connu ?

J'ai souvenir d'avoir fixé un bug à ce sujet il y a quelques temps, cf :

Pas certain que ça ait un rapport, mais au cas où...

PS : je me demande pourquoi tu passes #NOTES à travers safehtml, je ne suis pas certain que ça soit utile puisque SPIP filtre déjà pas mal de fourberies.

++
b_b

3

Le 02/04/2018 à 18:09, Bruno Bergot a écrit :

PS : je me demande pourquoi tu passes #NOTES à travers safehtml, je ne suis pas certain que ça soit utile puisque SPIP filtre déjà pas mal de fourberies.

C'était dans le squelette original de gribouille (c'est pour ça que ça bugge actuellement sur contrib), mais on peut imaginer que les notes ne sont pas trop susceptibles d'être trafiquées...

Ceci dit, on a la même chose dans la dist sur les forums :

safehtml sur les notes mais pas sur le texte ?

--
nicod_

4

Hop,

Le 02/04/2018 à 18:30, nicod_ a écrit :

Le 02/04/2018 à 18:09, Bruno Bergot a écrit :

PS : je me demande pourquoi tu passes #NOTES à travers safehtml, je ne suis pas certain que ça soit utile puisque SPIP filtre déjà pas mal de fourberies.

C'était dans le squelette original de gribouille (c'est pour ça que ça bugge actuellement sur contrib), mais on peut imaginer que les notes ne sont pas trop susceptibles d'être trafiquées...

À vérifier tout de même, essaye d'y coller quelques XSS pour être certain que c'est bien bloqué avant d'envoyer le bouzin dans la nature :wink:

Ceci dit, on a la même chose dans la dist sur les forums :
Connexion · GitLab

Vi, cf ↑

safehtml sur les notes mais pas sur le texte ?

Oui, car le texte est filtré par ici :

++
b_b