Actualités
Christian stocker vient de corriger une attaque XSS étrange : elle se base sur l'interprétation que font les navigateurs du caractère slash : /. En l'occurrence, il peut être remplacé par un espace quand le navigateur ne sait pas trop quoi en faire. Ce qui signifie que devient effectivement du code HTML valide.
A court terme, la solution est bien de compléter les filtres HTML, mais à plus long terme, comment se prémunir contre ces interprétations bizarres et non-documentées? Selon Christian, passer par la regénération XML du code est une bonne protection : au lieu d'utiliser les données brutes, elles sont produites par DomDocument (ou par n'importe quel outil de production XML), afin de s'assurer que le code HTML final est valide.
Et valide au sens des standards que tout le monde comprend, et pas ceux que les navigateurs comprennent!
A court terme, la solution est bien de compléter les filtres HTML, mais à plus long terme, comment se prémunir contre ces interprétations bizarres et non-documentées? Selon Christian, passer par la regénération XML du code est une bonne protection : au lieu d'utiliser les données brutes, elles sont produites par DomDocument (ou par n'importe quel outil de production XML), afin de s'assurer que le code HTML final est valide.
Et valide au sens des standards que tout le monde comprend, et pas ceux que les navigateurs comprennent!
| < Précédent | Suivant > |
|---|
Commentaires
Vous pouvez ajouter votre commentaire! |
Vous devez vous connecter pour commenter