Version imprimable
bonjour, peut-on trouver un code plus sécurisé que:
car ce code accepte aussi les attributs ex :aie::Code:u = u.replace(/\[IMG\](.*?)\[\/IMG\]/gi, "<img src=\"$1\">");
ce qui me donne:Code:[IMG]http://monimage" onclick="alert('ok')[/IMG]
Code:<img src="http://monimage" onclick="alert('ok')">
on peut voir un exemple de string de départ ??? avec et sans attributs...
quel est le caractère de fin de l'url ??
dans ton exemple si c'est " ...
Code:\[IMG\]([^"])*
ex1:
renvoie:Code:chaine=[IMG]http://monimage[/IMG]
ex2:Code:<img src="http://monimage">
renvoie:Code:chaine=[IMG]http://monimage" onclick="alert('faille')[/IMG]
peut-on virer le code situé à droite du "=" par exemple ?Code:<img src="http://monimage" onclick="alert('faille')">
Il n'a pas de " entre [IMG][/IMG]
donc ce coden'est pas adaptéCode:\[IMG\]([^"])*
ben y'en a un là dans ton exemple ..Code:[IMG]http://monimage" onclick="alert('faille')[/IMG]
Je voulais dire que moi je n'attendais pas à un " dans le code, celui qui met ça veut faire autre chose. Si mon filtre ne vire pas ce code javascript, je laisse à n'importe qui executer n'importe quoi chez n'importe qui !
En d'autre terme il me faudrait un code qui supprime " et ' entre [IMG] et [/IMG] (au pire qui vire tout le code entre [IMG] et [/IMG]), c'est une solution non ?
si tu as une liste exhaustives des caractère ne pouvant figurer dans ton url:
ici ' " et espace
Code:\[IMG\]([^ "']*)
Je mets ça :
?Code:u = u.replace(/\[IMG\]([^"])*(.*?)\[\/IMG\]/gi, "<img src=\"$1\">");
Code:
2
3
4
5
6
Merci