Mercurial > defr > DualBlog
view templates/main.xml @ 71:464f4b94ee27
Filtrage de certaines balises HTML, meilleure détection de la validité XML.
Plusieurs choses en une, toute tournant autour d'un meilleur traitement du
commentaire soumis:
- on utilise désormais stripslashes pour correctement gérer la valeur
d'éventuels arguments
- on filtre, via le DOM, les balises qui pourraient s'avérer peut sure, ou
être utilisé pour une attaque de type cross-site scripting. L'utilisation
de getElementsByTagName devrait se charger d'attaque du type <html:script
/> ou l'utilisateur utilise un namespace non standard pour déjouer une
comparaison de chaînes.
| author | Franck Deroche <webmaster@defr.org> |
|---|---|
| date | Thu, 20 Mar 2008 19:45:08 +0100 |
| parents | caef2b6e5690 |
| children |
line wrap: on
line source
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd"> <html xml:lang="fr" xmlns="http://www.w3.org/1999/xhtml" xmlns:tr="http://defr.net/2007/template"> <head> <meta http-equiv='content-type' content='text/html; charset=utf-8' /> <meta name='author' content='Franck Deroche' /> <title /> <link rel='StyleSheet' type='Text/CSS' href='/blog/css/comment.css' /> <tr:possibleStyleSheets> <link tr:toClone='true' type='text/css' media='screen' /> </tr:possibleStyleSheets> <link rel="alternate" type="application/atom+xml" title="Atom feed" href="/blog/dualblog.atom" /> <link rel="icon" type="image/png" href="/favicon.png" /> <script type="Text/JavaScript" src="/blog/RollUp.js">//Stupid IE. Do not remove or the tag will be empty</script> </head> <body id="Main"> <h1>Dual Blog : DeFr's Weblog</h1> <div id="Posts" tr:id='Posts'> <tr:calendarPrevNext /> <tr:post tr:toClone='true' /> <tr:commentForm /> <tr:calendarPrevNext /> </div> <div id="Adresse"> <span>Sites visités</span> </div> <tr:links /> <tr:sidebar /> </body> </html>