MrSoulPC915 Posted November 8, 2019 Share Posted November 8, 2019 (edited) Bonjour, Afin de pouvoir créer des pages CMS réellement personnalisés (balises avec des attributs exotiques par exemple), j'ai du désactivé HTMLPurifier. À quel risques je m'expose en désactivant cette bibliothèque ? Est-ce que ça ouvre des vecteurs d'attaque (sans identification au backoffice) ? Les éventuelles problématiques au sein de l'équipe seront contenus. merci d'avance. Edited November 8, 2019 by MrSoulPC915 (see edit history) Link to comment Share on other sites More sharing options...
Eolia Posted November 8, 2019 Share Posted November 8, 2019 Tant que vos pages ne contiennent pas de formulaire il n'y a aucun risque Link to comment Share on other sites More sharing options...
MrSoulPC915 Posted November 22, 2019 Author Share Posted November 22, 2019 Ça confirme mon intuition. Merci. Link to comment Share on other sites More sharing options...
Guest Posted April 10, 2020 Share Posted April 10, 2020 Bonjour, avant de recréer un sujet...A ce sujet 🙂 je me permet de rajouter ici. Utiliser la bibliothèque HTMLPurifier. Moi aussi cette case me bloque un peu. - Avec ! Je suis les conseils de Prestashop qui dit que par sécurité, nous recommandons de laisser cette option activée. - Sans ! Qui me permet de mettre du html complet afin d'avoir une belle mise en forme. Quels en sont vraiment les inconvénients ? Les pages d'une boutique sous prestashop 1.7 contiennent forcement des formulaires... Je n'arrive pas à trouver d'informations claires la dessus ... Merci 😉 Link to comment Share on other sites More sharing options...
MrSoulPC915 Posted April 10, 2020 Author Share Posted April 10, 2020 Bonjour, Désactiver HTMLPurifier te permet de rajouter n’importe quelles balises HTML dans les pages CMS. Ça offre plein de possibilités, cependant, il faut être rigoureux et ne jamais y placer le moindre formulaire... Un formulaire est vecteur d’injection SQL... Cependant, pas d’inquiétudes, les formulaires présente ailleurs sur le site ne seront pas impacté (page contact ou autres modules), seuls ceux que tu pourrais rajouter dans les pages CMS craignent. Link to comment Share on other sites More sharing options...
Guest Posted April 10, 2020 Share Posted April 10, 2020 bien vu 😉 J'ai désactivé cette fonction depuis pas mal de temps afin de mettre du html complet dans les pages de mon blog sur ma boutique... Mais je n'arrivais pas a trouver de l'info précise expliquant ce truc.🙂 Mais bon si le seul risque et concernant les formulaires qui pourraient être inséré dans les pages cms (ou celles de mon blog)... Alors je n'en mettrait pas 🙂 Merci de ta réponse rapide. Trés bonne fin de journée. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now