Discussion :

[Mr N.]

Bonjour,

J'ai déjà posé ma question dans le forum Dev.Web mais come ca touche le xml je poste aussi ici Pour reference : http://www.developpez.net/forums/viewtopic.php?t=312434

Alors, imaginons que j'affiche, sur un intranet, le contenu d'un flux xml. Imaginons surtout que ce flux xml est de source non sure car de provenance inconnue, diverse et variée. (C'est un flux RSS)

Ce flux xml contient par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<description>Lorem ipsum dolor sit amet, consectetuer adipiscing elit.</description>

J'affiche texto le contenu de la balise <description> sur le portail.

Jusque là rien de sorcier.

Ce qui m'embète c'est que cette balise <description> peut contenir autre chose qu'un texte bidon, comme par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<description>&lt;script&gt;alert(document.cookie)&lt;/script&gt;</description>

Mes question sont :
Est-ce-que ce scénario est réalisable ? Est-ce-qu'un "vilain" peut corrompre mon système ?
Y-a-t-il des précautions à prendre quand on insere du code de source inconnue depuis un format xml et si oui lesquelles ?

Merci pour vos réponses,
Nicolas

[GrandFather]

Bonjour,

comment affiches-tu le contenu par RSS ? Avec du code PHP/ASP, ou avec XSLT ?

[Mr N.]

Je n'utilise pas XSLT mais des POJO -- Plain Old Java Object --
Je suis dans un environnement J2EE et c'est donc une jsp qui affiche "à la main" (à contrario de XSLT) chaque titre, description de chaque item du flux RSS.

[GrandFather]

Dans ce cas, un petit filtrage de ta source RSS avec une ou deux expressions régulières avant affichage devrait te mettre à l'abri de toute malice...

[Mr N.]

Merci de la réponse.

Je n'ai plus qu'à me plonger dans les regexp...