Injection de code si javascript désactivé avec Ckeditor

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par seabird, 23 Octobre 2010.

  1. seabird
    seabird WRInaute occasionnel
    Inscrit:
    1 Décembre 2003
    Messages:
    318
    J'aime reçus:
    0
    Bonjour à tous,

    Une petite question,

    J'ai installé Ckeditor et Ckfinder sur un de mes sites que je lance de cette façon dans un formulaire:
    Code:
    <textarea class="ckeditor" cols="80" id="editor1" name="editor1" rows="10"><?php echo $_POST['editor1']?></textarea>
    	<script type="text/javascript">
    	          var editor =  CKEDITOR.replace( 'editor1',
                        {
                             toolbar : 'MyToolbar',
                             uiColor : '#e2e4e4',
    	                 removePlugins : 'resize',
    	                 height:'350px'
                       });	
    	CKFinder.setupCKEditor( editor, '../themev2/ckfinder/' ) ;
    	</script>
    
    j'ai mis $_POST['editor1'] dans le textarea pour rappeler l'entrée précédente en cas d'erreur dans un autre champ du formulaire au moment de l'envoi.
    Tout ça fonctionne correctement.

    Cependant je me pose une question. Si un petit malin désactive javascript , ckeditor ne se lance pas et ne pourra donc pas traiter le texte. On aura à la place un textarea normal avec les problèmes d'injection de code qu'il pourra y avoir.

    J'ai donc penser faire ça: ( n'afficher le textarea qui si javascript est activé)
    Code:
      <noscript>
     <b><font style="color:red;font-size:14px"> LA PAGE NECESSITE L'ACTIVATION DU JAVASCRIPT</font></b>
    </noscript>
    <script language="JavaScript">
    <!--
    var description='<textarea class="ckeditor" cols="80" id="editor1" name="editor1" rows="10"><?php echo $_POST['editor1']?></textarea>';
    document.write(description);
    //-->
    </script>	
    
    Cela ne fonctionne pas , hormis si la variable editor1 est écrite sur une seule ligne ( sans retour chariot)

    Je ne vois pas trop quoi faire pour corriger ça.
    Donc pour l'instant je n'affiche le bouton envoyer qui si javascript est activé.
    Code:
    <script language="JavaScript">
    <!--
    var soumission='<input type="submit" value="Envoyer" name="Envoyer" /> - <input type="reset" value="Annuler"/>';
    document.write(soumission);
    //-->
    </script>
    
    Voila , voila, si vous avez une idée,

    Merci
     
  2. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 593
    J'aime reçus:
    0
    Quoi qu'il arrive, tu dois toujours, toujours, toujours valider tout ce que tu reçois du côté serveur. Même en oubliant JS ou pas, d'un coup de curl je peux te balancer ce que je veux comme je veux, c'est trivial...

    Jacques.
     
Chargement...
Similar Threads - Injection code javascript Forum Date
Sécurité site web : injection code malicieux Développement d'un site Web ou d'une appli mobile 4 Avril 2010
Protection variable php contre les injections ? Développement d'un site Web ou d'une appli mobile 5 Avril 2016
Tests d'injection sql et tous types de failles Développement d'un site Web ou d'une appli mobile 17 Avril 2015
PHPMailer et injections Header Développement d'un site Web ou d'une appli mobile 18 Décembre 2014
sécuriser les injections SQL Développement d'un site Web ou d'une appli mobile 20 Novembre 2014
Plagiat de contenu et injection de mot clé pourri Débuter en référencement 24 Décembre 2013
pallier de l'injection de contenus en JS (innerhtml) par une div secondaire masquée... Débuter en référencement 17 Juin 2011
Injection JS sur plusieurs pages Développement d'un site Web ou d'une appli mobile 15 Novembre 2010
Tentative d'injection sql de googlebot ? Demandes d'avis et de conseils sur vos sites 14 Décembre 2009
Protection contre injection SQL Développement d'un site Web ou d'une appli mobile 8 Octobre 2009
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice