Mercurial > defr > DualBlog
annotate templates/post.xml @ 71:464f4b94ee27
Filtrage de certaines balises HTML, meilleure détection de la validité XML.
Plusieurs choses en une, toute tournant autour d'un meilleur traitement du
commentaire soumis:
- on utilise désormais stripslashes pour correctement gérer la valeur
d'éventuels arguments
- on filtre, via le DOM, les balises qui pourraient s'avérer peut sure, ou
être utilisé pour une attaque de type cross-site scripting. L'utilisation
de getElementsByTagName devrait se charger d'attaque du type <html:script
/> ou l'utilisateur utilise un namespace non standard pour déjouer une
comparaison de chaînes.
| author | Franck Deroche <webmaster@defr.org> |
|---|---|
| date | Thu, 20 Mar 2008 19:45:08 +0100 |
| parents | ff57b45eda37 |
| children |
| rev | line source |
|---|---|
| webmaster@11 | 1 <?xml version='1.0' encoding='utf-8'?> |
| webmaster@11 | 2 <div class='PostContent Weird' |
| webmaster@11 | 3 xmlns='http://www.w3.org/1999/xhtml' |
| webmaster@11 | 4 xmlns:tr='http://defr.net/2007/template' |
| webmaster@11 | 5 tr:id='post'> |
| webmaster@11 | 6 <h2><tr:postTitle /> | <span class='Date'><tr:postDate /></span></h2> |
| webmaster@11 | 7 <img tr:id='mood' /> |
| webmaster@11 | 8 |
| webmaster@11 | 9 <tr:postContent /> |
| webmaster@11 | 10 |
| webmaster@11 | 11 <p class='postInfos'> |
| webmaster@11 | 12 <span class='Tags'><em>Tags</em> : <tr:postTags /></span><br /> |
| webmaster@11 | 13 <a tr:id='linkPostNumber'><tr:postNumber /></a> - |
| webmaster@11 | 14 <a tr:id='linkPostComments'><tr:postComments /></a> |
| webmaster@11 | 15 </p> |
| webmaster@11 | 16 </div> |