Bonjour,
J'ai déjà posé ma question dans le forum Dev.Web mais come ca touche le xml je poste aussi ici Pour reference : http://www.developpez.net/forums/viewtopic.php?t=312434
Alors, imaginons que j'affiche, sur un intranet, le contenu d'un flux xml. Imaginons surtout que ce flux xml est de source non sure car de provenance inconnue, diverse et variée. (C'est un flux RSS)
Ce flux xml contient par exemple :
J'affiche texto le contenu de la balise <description> sur le portail.
Code : Sélectionner tout - Visualiser dans une fenêtre à part <description>Lorem ipsum dolor sit amet, consectetuer adipiscing elit.</description>
Jusque là rien de sorcier.
Ce qui m'embète c'est que cette balise <description> peut contenir autre chose qu'un texte bidon, comme par exemple :
Mes question sont :
Code : Sélectionner tout - Visualiser dans une fenêtre à part <description><script>alert(document.cookie)</script></description>
Est-ce-que ce scénario est réalisable ? Est-ce-qu'un "vilain" peut corrompre mon système ?
Y-a-t-il des précautions à prendre quand on insere du code de source inconnue depuis un format xml et si oui lesquelles ?
Merci pour vos réponses,
Nicolas
Partager