Sécurité lié à la balise HTML (Gestion:Tâches/Liste/20)

De Wikimedica
Sécurité lié à la balise HTML [Réalisée]  Modifier cette tâche Aide
TypeAmélioration
CréationAntoine Mercier-Linteau
Responsable(s)Antoine Mercier-Linteau
ÉtatRéalisée
Date de création2017/06/11
Échéanceaucune
PrioritéUrgente
Projet(s)aucun
<noinclude>
</noinclude>

L'utilisation de la balise HTML pose un problème de sécurité. Il faudrait qu'elle soit désactivée et que le code javascript soit déplacé vers l'espace de nom MediaWiki de manière à ce que seul les administrateurs puissent le modifier.

Les Widgets pourraient aussi fournir une solution.


Créer une sous-tâche
Aucune sous-tâche à afficher.
Aucune sous-tâche assignée à cette tâche.
Sous-tâches
- Type Priorité Titre Responsable(s) État Création
Voir les sous-tâches terminées...

Discussion

La création d'une extension ne permettant la sauvegarde d'une page contenant la balise html par les administrateurs pourrait être une bonne solution aussi. Antoine Mercier-Linteau (discussion) 23 mars 2018 à 00:46 (EDT)

Il faudrait du coup recenser les pages qui utilisent déjà cela et transférer leur contenu ? Jean-Philippe Pialasse 6 avril 2018 à 11:55 (EDT)
En effet, mais il y en a des masses et le problème, c'est qu'il n'existe pas de manière dans la syntaxe wiki d'appeler un script (le permettre serait en soit un problème de sécurité). La solution préconisée par MediaWiki est de tout mettre dans MediaWiki:Common.js, mais ça va alourdir les pages. Finalement, la balise HTML est utile pour d'autres choses que du js. Bref, c'est pour ces raisons que je préconise la création d'une petite extension. Antoine Mercier-Linteau (discussion) 6 avril 2018 à 12:31 (EDT)
L'extension est bien avancée, elle se trouve pour le moment sur github. Je vais la déployer sur le serveur sous peu. Antoine Mercier-Linteau (discussion) 19 juillet 2018 à 02:51 (EDT)
Extension déployée! Elle se nomme SaferHTMLTag. Antoine Mercier-Linteau (discussion) 1 août 2018 à 19:06 (EDT)

J'ai trouvé cette extension, mais son utilisation me semble très peu pratique. Elle force les éditeurs à valider leur code HTML avec un hash. Antoine Mercier-Linteau (discussion) 11 avril 2018 à 13:16 (EDT)