Discussion :

[bruno.rotrou]

slt
j'ai un soucis avec lequel je tourne en boucle.

dans un totoController j'ai:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
public function init()
    {
         $ajaxContext = $this->_helper->getHelper('AjaxContext');
         $ajaxContext->addActionContext('depot', 'html')
                           ->addActionContext('structures', 'html')
                           ->initContext();
 
    }

dans "ma vue" depot.ajax.tpl (je suis avec smarty), j'ai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
<div class="table3"
     <table class="pro" id="qualite"></table>
</div>
{literal}
<script type="text/javascript">
alert('toto');
</script>
{/literal}

la requete est appelée tout a fait correctement, mais tout le html pass sauf le script, il aurait-il une sécurité qui élimine mon script pour éviter les attaque XXS???

comment ajouter mon script à chaque appel AJAX rendu par mon depot.ajax.tpl??

merci
A+

[ascito]

de mémoire il faut cData


Embedded Javascript

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
<script type="text/javascript">//<![CDATA[{literal}
   ...
//]]></script>{/literal}

c'est une faute de gout, de ne pas encapsuler "literal" dans un contexte XML (cad : xmlns avec un respect ouverture / fermeture), c'est aussi certainement pour cela que je ne l'ai jamais utilisé


External Javascript

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script type="text/javascript" src="filename.js"></script>

[bruno.rotrou]

slt et merci;

j'ai essayé mais ca n'as rien donné, aurait de tête ;-) un lien vers lequel m’orienter, pour l'instant google ne me donne rien .....

merci

[ascito]

si peu pas utiliser autre chose que smarty,

j'ai trouvé ce lien, je me suis basé la dessus pour te donner ma réponse

http://smarty.incutio.com/?page=SmartyXHTML

[bruno.rotrou]

re
non, le problème ne viens pas de smarty, les balises <script></script> sont tout simplement supprimer, je pense c'est pour des raison de secu. Quand je les remplacent par :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<bruno>alert('toto')</bruno>

ca passe sans probleme , il doit y avoir un filtre dans la réponse ajax qui me vire mes balise <script></script>

je continu de chercher

A+

[ascito]

bon je vais pas pouvoir t'aider plus dans le code,
mais je me demande pourquoi les dev qui ont pensés smarty ont préférés laissé aux dev le nom de la balise et surtout éviter la balise <script>


enfin pourquoi <toto>alert('OK')</toto> fonctionne?

en vérité cela ne fonctionne pas puisque smarty le transforme en <script>

alors à une époque proche ( ie5), cela devait avoir une valeur de sécurité ?

faut voir, que tout le monde ait son mot à dire, mais je ne comprend pas le principe