Nouvelle logique pour $tags : true == interdit ou liste des admis
Les guillemts " sont convertis et de nouveau authorisées ds CDATA
L'option CDATA est protégé par plxUtils::cdataCheck
Previent les attaques XSS JS possible avec le dernier param à true
plxMotor->addCommentaire
On autorise les balises HTML :
<a><b><i><p><q><u><em><sub><sup><del><pre><code><span><strong>
Où l'on supprime tous les scripts
et ne garde que les attributs src, class et href sans javascript.
On supprime aussi style car imaginons un petit malin faire :
<p style=font-size:10000px ... sur un commentaire ;)
plxAdmin (Re-)permet de :
Les metas, alts et titles sont convertis, mieux qu'à l'origine.
Par exemple, utile pour un article de tuto sur les balises.
Pourquoi s'en privé :)
Note : sanitizeHtml ajoute un
pour les textes sans balise,
d'où le remplacement de p par div ds theme/defaut/commentaires
Idée : un éditeur HTML léger pour les commentaires.
Nouvelle logique pour $tags :
true== interdit ou liste des admis Les guillemts"sont convertis et de nouveau authorisées ds CDATA L'option CDATA est protégé par plxUtils::cdataCheck Previent les attaques XSS JS possible avec le dernier param àtrueCorrige :
<a href="#" style="font-size:60px" data-code="[[code]]">lien</a>Donnais (description de catégorie, Flux RSS, etc...)<a href=# style=font-size:60px data-code=[[code]]>tien</a>plxMotor->addCommentaire On autorise les balises HTML :
<a><b><i><p><q><u><em><sub><sup><del><pre><code><span><strong>Où l'on supprime tous les scripts et ne garde que les attributs src, class et href sans javascript. On supprime aussi style car imaginons un petit malin faire :<p style=font-size:10000px ...sur un commentaire ;)plxAdmin (Re-)permet de : Les metas, alts et titles sont convertis, mieux qu'à l'origine. Par exemple, utile pour un article de tuto sur les balises. Pourquoi s'en privé :)
Note : sanitizeHtml ajoute un
pour les textes sans balise, d'où le remplacement de p par div ds theme/defaut/commentaires
Idée : un éditeur HTML léger pour les commentaires.