C'est secure ça ?

Suite à une demande de pouvoir gérer du HTML dans les titres des billets j’ai voulu tester ce qui était possible avec la dernière version de Wordpress.

Donc je crée un nouvel article et je colle ceci dans le titre :

<i lang="en" onclick="alert('Coucou !')">It's a test Dude!</i>

Résultat des courses, le titre est affiché tel quel (avec les balises) et quand on clique dessus, tada, une belle alerte Javascript avec comme contenu « Coucou ! ».

C’est moi où bien c’est réellement pas secure de pouvoir faire ça et donc potentiellement des trucs réellement plus chelous ?

En même temps, si je fais ça ici, ça donne pareil :

It’s a test Dude!

J’ai un peu de mal à envisager comment on pourrait exploiter ce truc là, si on voulait être méchant, hormis évidemment le cas où on a accès à l’admin…

Ajouter un commentaire

Les champs suivis d'un * sont obligatoires

Les commentaires peuvent être formatés en utilisant la syntaxe Markdown Extra.

Ajouter un rétrolien

URL de rétrolien : https://open-time.net/trackback/14730

Haut de page