Suivi - Administration site Empêcher la collision des id

#1417 Posté par . État de l'entrée : corrigée. Licence CC by-sa.
Tags : aucun
2
22
août
2014

(réécrite et réaffectée suite à une purge de compte)

La version HTML d'un contenu va contenir des balises ayant un attribut 'id' (exemple pris) :

  1. ceux fournis par le patron du contenu (news-show, top, site, label_query, query, search_submit, sidebar, branding, new_account_sidebar, account_login_sidebar, account_password_sidebar, account_remember_me_sidebar, account_submit_sidebar, container, contents, send-comment, follow-feed, bigfooter, last_comments, popular_tags, friends, about_us, etc.)
  2. ceux indirectement fournis par les utilisateurs (link_XXX, comment-XXX, etc.)
  3. ceux fournis par les utilisateurs (les-nouveautés-principales-de-mageia6, kdeplasma, gnome, xfce-et-les-autres, en-synthèse-des-mises-à-jour, dans-le-détail-des-nouveautés-de-mageia6, etc.)

Il est possible pour un utilisateur d'injecter des id de type 3 qui seront en collision avec ceux des catégories 1 et 2 (alors que les ids devraient être uniques, et qu'une telle injection pourrait être problématique d'un point de vue sécurité. Solution possible : préfixer les ids de type 3 et/ou empêcher la définition multiple (ce qui semble partiellement en place entre les type 3, avec une version id="comment-123" et id="comment-123-1" dans l'exemple qui suit)

Exemple

# container #
# site #
# sidebar #
# top #
# link_123 #
# comment-123 #
# comment-123 #

container

site

sidebar

top

comment-123

comment-123

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.