[SPIP Zone] r111671 - in _plugins_/cvt-upload/trunk

Archives Zone
1

Le 25/09/2018 à 15:48, spip-zone-commit@rezo.net a écrit :

Author: peetdu@gmail.com
Date: 2018-09-25 13:48:34 +0000 (Tue, 25 Sep 2018)
New Revision: 111671

Modified:
    _plugins_/cvt-upload/trunk/formulaires/inc-cvtupload-fichier.html
    _plugins_/cvt-upload/trunk/paquet.xml
Log:
Dans espace prive le JS est protégé, donc ici on a bien besoin des deux étoiles (marcimat + cedric)

Details: Connexion · GitLab

C'est pour résoudre quel problème ce commit? je comprend pas comment une image peut contenir du js

2

C’est assez simple, et c’est dans l’espace privé, où les textes sont filtrés pour éviter des XSS :

- Tu postes une image, avec un formulaire en erreur,
- Le formulaire revient en saisie, affiche les erreurs, et l’image miniature du fichier, encodé en base64
- Cette image est affichée avec <img src="data:base64..."/> (qqc comme ça), SPIP filtre tout usage de data: sur les balises img, et donc l’image n’est pas affichée (mais on voit son code du coup) (via textwheel echape-js / echappe-{jesaisplusquoi}-xss )

Note : contrairement à bigup qui met un style background-image="data:base64..." sur un span, et ça ça passe].

Donc, si tu as 1 * (ces scripts de sécus sont appliqués dans le privé). Pas avec 2 *.

Ça répond à ta question ?

MM.

Le 26/09/2018 à 10:26, Maïeul a écrit :

Le 25/09/2018 à 15:48, spip-zone-commit@rezo.net a écrit :

Author: peetdu@gmail.com
Date: 2018-09-25 13:48:34 +0000 (Tue, 25 Sep 2018)
New Revision: 111671

Modified:
_plugins_/cvt-upload/trunk/formulaires/inc-cvtupload-fichier.html
_plugins_/cvt-upload/trunk/paquet.xml
Log:
Dans espace prive le JS est protégé, donc ici on a bien besoin des deux étoiles (marcimat + cedric)

3

Le 26/09/2018 à 12:23, Matthieu Marcillaud a écrit :

C’est assez simple, et c’est dans l’espace privé, où les textes sont filtrés pour éviter des XSS :

- Tu postes une image, avec un formulaire en erreur,
- Le formulaire revient en saisie, affiche les erreurs, et l’image miniature du fichier, encodé en base64
- Cette image est affichée avec <img src="data:base64..."/> (qqc comme ça), SPIP filtre tout usage de data: sur les balises img, et donc l’image n’est pas affichée (mais on voit son code du coup) (via textwheel echape-js / echappe-{jesaisplusquoi}-xss )

Note : contrairement à bigup qui met un style background-image="data:base64..." sur un span, et ça ça passe].

Donc, si tu as 1 * (ces scripts de sécus sont appliqués dans le privé). Pas avec 2 *.

Ça répond à ta question ?

MM.

oui, merci je suis juste étonné de ne pas l'avoir croisé avant