Discussion :

[vmonteco]

Bonjour!

Je suis en train de réaliser un site avec Django, avec un modèle "article".
Le champs "content" de ce modèle article pourra contenir du HTML (du simple texte c'est un peu moche et limité ), et celui-ci est interprété comme tel lors de l'affichage de l'article sur le site. (j'ai donc utilisé l'option "safe" dans mon template pour l'affichage du champ en question).
Cependant ce site est destiné à des personnes ne connaissant pas forcément bien le HTML et qui pourraient faire des bêtises ou des erreurs dans la rédaction des articles.
J'aimerais donc protéger le site contre ce genre d'erreur, afin que par exemple un article "défectueux" ne puisse pas être affiché ou retourne un message d'erreur dans le formulaire de rédaction dans la partie administration de mon site, ou encore utiliser un autre langage que le HTML peut-être (bbcode?)?

avez-vous des pistes, retours d'expérience ou conseils pour résoudre ce soucis?

Merci d'avance!

[VinsS]

Salut,

Plusieurs pistes:

- Prévisualisation obligatoire avant enregistrement
- Limiter les balises autorisées et écrire ton parser
- Poser la question sur le forum HTML

[vmonteco]

Je vais regarder ça merci
Je suis aussi en train d'étudier cet article :
http://thomasondjango.fr/injection-d...3%A8le-django/

Qui ma foi me semble intéressant.
Ça va me prendre un moment de tout comprendre par contre.

[valAa]

Hello,

J'arrive probablement après la bataille, mais si une dépendance supplémentaire ne t'effraie pas, html5lib implémente le nettoyage du markup HTML
Voir ici https://github.com/html5lib/html5lib...b/sanitizer.py

Un exemple d'utilisation dans l'appli django-wysiwyg ici https://github.com/pydanny/django-wy...g/utils.py#L32

Je suis aussi en train d'étudier cet article :
http://thomasondjango.fr/injection-d...3%A8le-django/

Qui ma foi me semble intéressant.
Ça va me prendre un moment de tout comprendre par contre.

L'injection de champs dans un modèle tiers... oui mais bon, ça s'apparente plus à du monkey-patching qu'autre chose. Si ça peut rendre de gros services (j'ai des applications django "dans la vraie vie" qui monkey-patch des applis tiers, notamment des cms...), ça reste à manier avec précaution, notamment lors de la mise à jour des applis tierces...