Remove require htmlLawed from Lib folder

[StanByes]

Mineweb inclut, depuis les dernières version, htmlLawed dès le AppController donc le plugin essayait de le require de nouveau ce qui provoquait une Internal Server Error

[PHPierrre]

J'ai remarqué ca ici : #47
Voilà, maintenant, il faut supprimer les fichiers correspondants.

Autre problème : visiblement la librairie laisse passer des choses : #42

[nivcoo]

J'avais pas vu les issues/pull du plugin, enfaite quand tu l'as mis sur le forum les attributes étaient tous autorisés, hors on peut faire passer du xss dans des attributes html, donc normalement l'application sur toute les requetes du cms devrait corriger le problème, pour l'erreur 500 sur le forum je ne me suis pas pencher dessus même si je pense que certaines fonctionnalités peuvent être impactés par ces modif (Simplement au niveau de certain formulaire spécial je pense).

[nivcoo]

Cependant

Plugin-Forum/Controller/Component/ForumSecurityComponent.php

Line 7 in 8e5137e

return htmLawed($content, ['safe' => 1]);

n'a pas la même config que : https://github.com/MineWeb/MineWebCMS/blob/development/app/Controller/Component/EySecurityComponent.php#L33

Il faudrait supprimer tout les appels à la fonction "removeScript" puisque ce n'est plus nécessaire et ce serait de la duplication de protection

[StanByes]

Je peux m'en charger si vous voulez. Ça va pas prendre 4 ans non plus

[nivcoo]

Nan techniquement c'est qu'un ctrl f mais tu peux le faire et le mettre dans ce pull

[StanByes]

Normalement c'est bon avec les deux commits (le premier est un fail)

[PHPierrre]

Normalement c'est bon avec les deux commits (le premier est un fail)

Le problème c'est que je ne peux pas distinguer ce qui a été modifié là.

Idéalement il faudrait garder le commit initial, retirer le fichier htmLawed, et peut être meme faire appel directement à celui du CMS afin d'optimiser les argument donnés à la fonction htmLawed.

[nivcoo]

Normalement c'est bon avec les deux commits (le premier est un fail)

Le problème c'est que je ne peux pas distinguer ce qui a été modifié là.

Idéalement il faudrait garder le commit initial, retirer le fichier htmLawed, et peut être meme faire appel directement à celui du CMS afin d'optimiser les argument donnés à la fonction htmLawed.

Il n'y a plus besoin de ça puisque toutes les requêtes du CMS passent par htmlawed

[nivcoo]

Pour distinguer les changements regarde directement dans l'onglet file changed, il n'y pas le problème d'indentation

[PHPierrre]

Mmmm )

[PHPierrre]

Pour distinguer les changements regarde directement dans l'onglet file changed, il n'y pas le problème d'indentation

Bien vu !
Du coup le CMS effectue les vérifications nécessaire, plus besoin de se soucier de quelque chose ?

[nivcoo]

@StanByes Tu as oublié une parenthèse

[nivcoo]

Pour distinguer les changements regarde directement dans l'onglet file changed, il n'y pas le problème d'indentation

Bien vu ! Du coup le CMS effectue les vérifications nécessaire, plus besoin de se soucier de quelque chose ?

Oui tous les $this->request->data passe par un htmlawed avec les bons attribues directement dans le cms (Bien évidement pour certaines requêtes ça peut poser soucis mais le grand maximum a été corrigé)

[StanByes]

C'est bon j'ai enlevé la paranthèse ;)

[nivcoo]

@PHPierrre Up la version requise du cms pour le plugin à la dernière 1.15.2

[nivcoo]

Ou du moins 1.15.1 (là où a été appliqué le fix)

[PHPierrre]

Merci à vous @StanByes et @nivcoo 🙂