Discussion :

[majong]

bonjour, peut-on trouver un code plus sécurisé que:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

u = u.replace(/\[IMG\](.*?)\[\/IMG\]/gi, "<img src=\"$1\">");

car ce code accepte aussi les attributs ex :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

[IMG]http://monimage" onclick="alert('ok')[/IMG]

ce qui me donne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<img src="http://monimage" onclick="alert('ok')">

[SpaceFrog]

on peut voir un exemple de string de départ ??? avec et sans attributs...

quel est le caractère de fin de l'url ??

dans ton exemple si c'est " ...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

\[IMG\]([^"])*

[majong]

ex1:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

chaine=[IMG]http://monimage[/IMG]

renvoie:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<img src="http://monimage">

ex2:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

chaine=[IMG]http://monimage" onclick="alert('faille')[/IMG]

renvoie:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<img src="http://monimage" onclick="alert('faille')">

peut-on virer le code situé à droite du "=" par exemple ?

[majong]

Il n'a pas de " entre [IMG][/IMG]
donc ce code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

\[IMG\]([^"])*

n'est pas adapté

[SpaceFrog]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

[IMG]http://monimage" onclick="alert('faille')[/IMG]

ben y'en a un là dans ton exemple ..

[majong]

Je voulais dire que moi je n'attendais pas à un " dans le code, celui qui met ça veut faire autre chose. Si mon filtre ne vire pas ce code javascript, je laisse à n'importe qui executer n'importe quoi chez n'importe qui !
En d'autre terme il me faudrait un code qui supprime " et ' entre [IMG] et [/IMG] (au pire qui vire tout le code entre [IMG] et [/IMG]), c'est une solution non ?