Dans ma configuration codeigniter j'ai $config['global_xss_filtering'] = TRUE;
. Dans ma section admin, j'ai un ckeditor qui génère le contenu du frontend.Codeigniter global_xss_filtering
Tout ce qui est tapé et placé à l'intérieur de l'éditeur fonctionne bien, les images sont bien affichées, html fonctionne. Tous sauf flash. Chaque fois que je passe en mode html et collez un morceau de code youtube, il est échappé et le code est visible sur la page d'accueil au lieu de montrer un film youtube.
Si je règle $config['global_xss_filtering'] = FALSE;
le code youtube est passé comme il se doit. C'est parce que 'object', 'embed' etc sont marqués comme "vilains" par CI et donc échappés. Comment puis-je contourner le filtrage xss pour cette méthode à un seul contrôleur?
Vous offrez à un attaquant un moyen facile d'intégrer XSS. Tout ce qu'il a à faire est HTML-encoder l'attaque. Il contournera tous les filtres XSS, puis sera reconverti en attaque par html_entity_decode. –
De quelle autre manière devrais-je permettre aux gens d'utiliser HTML dans une zone de texte? Je l'utilise via HTMLPurifier, n'est-ce pas suffisant? – zechdc
Cela supprime également les attributs de style en ligne, si j'utilise –