Suite à une demande de pouvoir gérer du HTML dans les titres des billets j’ai voulu tester ce qui était possible avec la dernière version de Wordpress.
Donc je crée un nouvel article et je colle ceci dans le titre :
<i lang="en" onclick="alert('Coucou !')">It's a test Dude!</i>Résultat des courses, le titre est affiché tel quel (avec les balises) et quand on clique dessus, tada, une belle alerte Javascript avec comme contenu « Coucou ! ».
C’est moi où bien c’est réellement pas secure de pouvoir faire ça et donc potentiellement des trucs réellement plus chelous ?
En même temps, si je fais ça ici, ça donne pareil :
It’s a test Dude!J’ai un peu de mal à envisager comment on pourrait exploiter ce truc là, si on voulait être méchant, hormis évidemment le cas où on a accès à l’admin…
1 De Biou -
Ah c’est cool que tu aies testé ! On peut en effet penser à restreindre les balises et les attributs valides dans un titre, faut que je recheck la spec html. Pour le onclick, si tu l’autorises dans le body, c’est pas si pire dans le titre ;)
2 De Franck -
Oui tu as raison, pas de différence entre le titre et le corps.
Par contre va falloir que je jette un œil à la construction des URLs, sinon ça va être tout pas beau :-)
3 De nicod_ -
Une lib comme htmlpurifier peut aider à filtrer tout ça : http://htmlpurifier.org/
4 De Franck -
Ah oui merci nicod_, je vais y jeter un œil…