[Securité] contenu de source xml inconnue ds une page web

**Mr N.** · 18/03/2005, 11h22

Bonjour,

J'ai déjà posé ma question dans le forum Dev.Web mais come ca touche le xml je poste aussi ici

Pour reference : http://www.developpez.net/forums/viewtopic.php?t=312434

Alors, imaginons que j'affiche, sur un intranet, le contenu d'un flux xml. Imaginons surtout que ce flux xml est de source non sure car de provenance inconnue, diverse et variée. (C'est un flux RSS)

Ce flux xml contient par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<description>Lorem ipsum dolor sit amet, consectetuer adipiscing elit.</description>

J'affiche texto le contenu de la balise <description> sur le portail.

Jusque là rien de sorcier.

Ce qui m'embète c'est que cette balise <description> peut contenir autre chose qu'un texte bidon, comme par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<description>&lt;script&gt;alert(document.cookie)&lt;/script&gt;</description>

Mes question sont :
Est-ce-que ce scénario est réalisable ? Est-ce-qu'un "vilain" peut corrompre mon système ?
Y-a-t-il des précautions à prendre quand on insere du code de source inconnue depuis un format xml et si oui lesquelles ?

Merci pour vos réponses,
Nicolas

**GrandFather** · 18/03/2005, 11h59

Bonjour,

comment affiches-tu le contenu par RSS ? Avec du code PHP/ASP, ou avec XSLT ?

**Mr N.** · 18/03/2005, 12h15

Je n'utilise pas XSLT mais des POJO -- Plain Old Java Object

--
Je suis dans un environnement J2EE et c'est donc une jsp qui affiche "à la main" (à contrario de XSLT) chaque titre, description de chaque item du flux RSS.