Bonjour,

Je met ce topic sous Javascript parce que *editeur* est principalement écrit dans ce langage.

J'utilise pour un de mes projet l'assez célèbre *editeur*, qui est un éditeur de texte riche (façon office).

*Texte retiré pour raison de sécurité*

Le seul point important est qu'il envoie du code html, et donc, si on cherche à stocker une news format richtext par exemple, on va envoyer de la data transmise en POST qui n'aura pas été traitée par des fonctions du type htmlentities(), sous peine de casser tout le code html.

En sachant qu'il est aussi possible de désactiver la mise en page et de fournir un code html brute au système, n'y a t il pas un risque de sécurité?

Voilà voilà, j'espère avoir été clair,

merci de la réflexion!

Le code envoyé par l'éditeur DOIT ÊTRE VÉRIFIÉ !
De plus, n'importe qui peut faire une page HTML avec un formulaire pointant vers ta page... bref, il faut tout que tu reparses en PHP.

mince alors...

que penser de si on ne vérifie seulement qu'il n'y ait pas de <? ou ?> ou <?php dans le code html? après si le code html est foireux, on s'en fiche un peu, c'est à l'admin de se tenir au courant!

dans cette optique, devrait-on aussi également se méfier des balises d'ouverture/fermeture des scripts asp, javascripts et autres dont je n'ai pas idée?

merci ^^'

Bah si t'y stocke dans une BDD, c'est pas la peine les balises PHP et ASP...
Le problème, c'est les faille XSS : http://www.securite-info.org/tutoriel- [...] ille-xss.html
Qui peuvent même entrainer des CSRF : http://www.siteduzero.com/tutoriel-3-1 [...] les-csrf.html

Je me suis souvent demandé: Est-ce que le cheval blanc d'Henri IV est vraiment blanc ?

Edited

Je t'invite dans un MP. Évite de poster dedans.
Et édite ton message, ça pourrait donner des idées à des crétins.

ok ok je regarde ça et j'edit si c'est nécessaire. C'est bon comme ça?

Concernant le stockage en bdd, après un peu de réflexion, je suis d'accord avec toi

Pour l'edit et le mp il parlait pour moi fredu

Il n'y avait rien de spécial a retiré de ton topic

ah ouais? mince le boulet je pensais que je donnerais des idées pour hacker ls sites utilisant l'éditeur à l'arrache

bon ben je ré éditerai...

mais du coup ça m'intéresse ce que tu avais posté avant et que je n'ai pas pu voir. tu veux pas me l'envoyer en mp?

Edit après avoir lu sur les XSS? Quel serait le moyen de se prémunir contre ces faille tout en utilisant l'éditeur? Faut-il parser toutes les groupes <> et vérifier que leur contenu est "autorisé" par exemple, n'autoriser que les contenu span, div, input etc? C'est fastidieux...

C'est fastidieux mais c'est ça qu'il faut faire
Tu utilises htmlentities et après, tu ne retransforme en HTML que els couples autorisés (sans attributs non autorisés comme les onclick ou autres attributs contenant du javascript).

mince alors!!!

et j'arrive pas à mettre la main sur un valideur open source... en tous cas, merci de votre science tous!

A+

Pense à mettre ton sujet en résolu à l'aide du lien en bas de page