Discussion :

[Sylvain255]

Bonjour,
j'ai un champ tinyMCE dans mon formulaire et souhaiterais bloquer tout enregistrement de JavaScript par les utilisateurs. lls peuvent en effet créer un formulaire pirate sans tinyMCE qui envoie du HTML qui ne sera pas filtré par tinyMCE. Pour cela j'ai déjà interdit le mot script en case insensitive (bloque les <script> et <a href="javascript:"), mais ce n'est pas suffisant, en effet ils peuvent mettre des onmouseover etc. Je souhaiterais donc connaître la liste exhaustive des événements Javascript car toutes les listes que j'ai vues sur le net n'étaient pas complètes. Ou bien existe-t-il un outil tiers existant pour bloquer cela que je ne connais pas ?
Merci de votre aide
Bien cordialement

[SpaceFrog]

Et si au lieu d'essayer de blinder ton form, tu tentais plutot de vérifier sur le traitement du form qu'il provient bien uniquement de l'envoi de ton forumlaire ?

[Sylvain255]

j'ai vu que JSoup existait : https://stackoverflow.com/questions/...in-java-or-jsp
https://stackoverflow.com/questions/...ript-from-html
mais c'est du Java, comment l'interfacer simplement en PHP ?
vous pouvez déplacer ma question dans le forum PHP si besoin

[SpaceFrog]

https://cheatsheetseries.owasp.org/c...eat_Sheet.html
un peu de lecture

Tu peux récupérer un clef pour un input hidden en ajax en ayant coté serveur interdit les requêtes ajax hors domaine.
puis vérifier la clef après submit

[Sylvain255]

désolé mais je ne comprends rien à ton site mais en lisant entre les lignes je vois qu'il y a un autre risque que j'avais oublié les balises <form>, moi je veux simplement utiliser JSoup en PHP mais comment faire ?

[cavo789]

Bonjour

moi je veux simplement utiliser JSoup en PHP mais comment faire ?

Logiquement, non, tu ne veux pas utiliser un outil X ou Y. Tu as un besoin qui est de protéger ... et si quelqu'un te donne une solution, tu n'as plus besoin de JSoup.

Quand tu veux sécuriser un formulaire (=garantir que le formulaire que tu vas recevoir provient de ta page); généralement la solution passe par un token. Voici le premier lien que j'ai trouvé sur Ggle http://sdz.tdct.org/sdz/securisation...lles-csrf.html

L'idée : ton site génère un code aléatoire (un token) au moment de l'affichage de la page. Imaginons "TOTO257". Tu génères un champ "name=token" caché qui va contenir cette valeur. Et quand tu recevras la soumission du formulaire, si le champ token ne contient pas strictement TOTO257 alors il y a un souci et tu refuses la soumission.

Pour ce qui est du contenu de l'éditeur, je n'ai pas de réponse à te fournir; il faudra chercher la liste des tags qu'il convient de supprimer. Je suppose que TinyMCE prévoit un truc du genre... mais note qu'il te faudrait, dans un monde idéal, ne pas faire confiance uniquement à TinyMCE mais aussi prévoir cette sécurité au niveau de ton serveur PHP. C'est le principe du never trust... Même si ton formulaire est sécurisé avec un token, il faut que ton serveur PHP se prémunise des attaques et, en gros, de refaire le nettoyage du code soumis.

[Pytet]

Bonjour,

A la place de JSoup, tu devrais plutôt te tourner vers un outil similaire en PHP tel que HTML Purifier : https://github.com/ezyang/htmlpurifier