Sécurité lié à la balise HTML (Gestion:Tâches/Liste/20)
Type | Amélioration |
---|---|
Création | Antoine Mercier-Linteau |
Responsable(s) | Antoine Mercier-Linteau |
État | Réalisée |
Date de création | 2017/06/11 |
Échéance | aucune |
Priorité | Urgente |
Projet(s) | aucun |
L'utilisation de la balise HTML pose un problème de sécurité. Il faudrait qu'elle soit désactivée et que le code javascript soit déplacé vers l'espace de nom MediaWiki de manière à ce que seul les administrateurs puissent le modifier.
Les Widgets pourraient aussi fournir une solution.
Discussion
La création d'une extension ne permettant la sauvegarde d'une page contenant la balise html par les administrateurs pourrait être une bonne solution aussi. Antoine Mercier-Linteau (discussion) 23 mars 2018 à 00:46 (EDT)
- Il faudrait du coup recenser les pages qui utilisent déjà cela et transférer leur contenu ? Jean-Philippe Pialasse 6 avril 2018 à 11:55 (EDT)
- En effet, mais il y en a des masses et le problème, c'est qu'il n'existe pas de manière dans la syntaxe wiki d'appeler un script (le permettre serait en soit un problème de sécurité). La solution préconisée par MediaWiki est de tout mettre dans MediaWiki:Common.js, mais ça va alourdir les pages. Finalement, la balise HTML est utile pour d'autres choses que du js. Bref, c'est pour ces raisons que je préconise la création d'une petite extension. Antoine Mercier-Linteau (discussion) 6 avril 2018 à 12:31 (EDT)
- L'extension est bien avancée, elle se trouve pour le moment sur github. Je vais la déployer sur le serveur sous peu. Antoine Mercier-Linteau (discussion) 19 juillet 2018 à 02:51 (EDT)
- Extension déployée! Elle se nomme SaferHTMLTag. Antoine Mercier-Linteau (discussion) 1 août 2018 à 19:06 (EDT)
- L'extension est bien avancée, elle se trouve pour le moment sur github. Je vais la déployer sur le serveur sous peu. Antoine Mercier-Linteau (discussion) 19 juillet 2018 à 02:51 (EDT)
- En effet, mais il y en a des masses et le problème, c'est qu'il n'existe pas de manière dans la syntaxe wiki d'appeler un script (le permettre serait en soit un problème de sécurité). La solution préconisée par MediaWiki est de tout mettre dans MediaWiki:Common.js, mais ça va alourdir les pages. Finalement, la balise HTML est utile pour d'autres choses que du js. Bref, c'est pour ces raisons que je préconise la création d'une petite extension. Antoine Mercier-Linteau (discussion) 6 avril 2018 à 12:31 (EDT)
J'ai trouvé cette extension, mais son utilisation me semble très peu pratique. Elle force les éditeurs à valider leur code HTML avec un hash. Antoine Mercier-Linteau (discussion) 11 avril 2018 à 13:16 (EDT)