Jump to content
MrSoulPC915

HTMLPurifier et Sécurité ?

Recommended Posts

Bonjour,

Afin de pouvoir créer des pages CMS réellement personnalisés (balises avec des attributs exotiques par exemple), j'ai du désactivé HTMLPurifier.

À quel risques je m'expose en désactivant cette bibliothèque ?

Est-ce que ça ouvre des vecteurs d'attaque (sans identification au backoffice) ?

Les éventuelles problématiques au sein de l'équipe seront contenus.

merci d'avance.

Edited by MrSoulPC915 (see edit history)

Share this post


Link to post
Share on other sites

Tant que vos pages ne contiennent pas de formulaire il n'y a aucun risque ;) 

Share this post


Link to post
Share on other sites
Guest

Bonjour, avant de recréer un sujet...A ce sujet 🙂 je me permet de rajouter ici. 

Utiliser la bibliothèque HTMLPurifier.

Moi aussi cette case me bloque un peu.

- Avec ! Je suis les conseils de Prestashop qui dit que par sécurité, nous recommandons de laisser cette option activée.

- Sans ! Qui me permet de mettre du html complet afin d'avoir une belle mise en forme.

Quels en sont vraiment les inconvénients ?
Les pages d'une boutique sous prestashop 1.7 contiennent forcement des formulaires... 
Je n'arrive pas à trouver d'informations claires la dessus ...

Merci 😉

 

Share this post


Link to post
Share on other sites

Bonjour,
Désactiver HTMLPurifier te permet de rajouter n’importe quelles balises HTML dans les pages CMS.
Ça offre plein de possibilités, cependant, il faut être rigoureux et ne jamais y placer le moindre formulaire...
Un formulaire est vecteur d’injection SQL...
Cependant, pas d’inquiétudes, les formulaires présente ailleurs sur le site ne seront pas impacté (page contact ou autres modules), seuls ceux que tu pourrais rajouter dans les pages CMS craignent.

Share this post


Link to post
Share on other sites
Guest

bien vu 😉 

J'ai désactivé cette fonction depuis pas mal de temps afin de mettre du html complet dans les pages de mon blog sur ma boutique... Mais je n'arrivais pas a trouver de l'info précise expliquant ce truc.
🙂
Mais bon si le seul risque et concernant les formulaires qui pourraient être inséré dans les pages cms (ou celles de mon blog)... Alors je n'en mettrait pas 🙂 

Merci de ta réponse rapide. Trés bonne fin de journée.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More