JeuWeb - Crée ton jeu par navigateur
Utilisation d'un éditeur HTML - Version imprimable

+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Utilisation d'un éditeur HTML (/showthread.php?tid=2412)



Utilisation d'un éditeur HTML - djidi - 19-03-2011

Bonsoir,

J'envisage pour l'un de mes site de remplacer mon système actuel de BBCode (utilisé pour formater les tutoriels, descriptions de jeux etc...) afin de le rendre plus simple d'utilisation pour les membres.

En regardant les différents éditeurs existants, je me demande s'il serait envisageable d'en utiliser un tel que CKEditor ou est-ce trop risqué vu qu'il injecte du HTML ?
(Pour info, les pages peuvent être créés/édités par n'importe quel membre du site.)

Merci d'avance.


RE: Utilisation d'un éditeur HTML - niahoo - 19-03-2011

Pourquoi ne pas adapter un moteur de wiki fiable et bien sécurisé, maintenu sur la durée par des développeurs confirmés ?

(oui je sais ça ne réponds pas à la question, regarde la doc de CK, peut-être dispose-t'il de fonctionnalités de sécurité.)


RE: Utilisation d'un éditeur HTML - Sephi-Chan - 19-03-2011

Dans tous les cas tu dois filter le HTML. Je te conseille pour cela une librairie comme HTML Purifier.
À partir de là, tu peux donc tout utiliser côté client, du simple format Markdown à l'éditeur riche.


Sephi-Chan


RE: Utilisation d'un éditeur HTML - djidi - 20-03-2011

Ok merci. Va pour HTMLpurifier + CKEditor Smile


RE: Utilisation d'un éditeur HTML - djidi - 14-02-2013

plop,

Je ré-up ce sujet pour une question liée :
Sur Guildi, chaque élément créé sur une page de site de guilde est filtré par HTMLPurifier.
Cependant, j'ai de plus en plus de demandes d'utilisateurs pour intégrer des Codes JS (Ex: viewers TeamSpeak...) ou des iframes (Youtube...).

Est-ce que ca vaut le coup de garder HTMLPurifier, sachant que dans le cas présent, c'est leur propre site.
Quels pourraient être les risques de sécurité ?

Merci Smile


RE: Utilisation d'un éditeur HTML - Marc15 - 16-02-2013

Je te le déconseille. Ça va créer une très grosse faille de sécurité. Ne permet à aucun utilisateur de placer du JS sur leurs pages.

Si tu dois leurs permettre d'insérer des éléments externes comme une vidéo YouTube, tu dois le coder toi-même. C'est-à-dire, leur permettre d'entrer l'id de la vidéo et ton code à toi générera le code JS pour YouTube. (c'est un exemple, je sais pas si on a besoin du JS pour insérer une vidéo)


RE: Utilisation d'un éditeur HTML - djidi - 16-02-2013

J'ai vérifié sur Xooit, et celui-ci permet l'insertion de codes JS.

Pour YouTube c'est déjà autorisé mais comme il s'agit d'une iframe, pour des raison de sécurité j'ai du contourner (Pour les Iframes, seules certaines sources sont autorisées et de nouvelles sont ajoutées après demandes d'utilisateurs).

Le but est de savoir si réellement il y a des risques et à quels niveaux. Car j'ai de nombreuses demandes pour des codes JS particuliers pour des TS viewers et étant donné la cible de Guildi, ca risque de devenir indispensable de pouvoir les utiliser.
Et je ne peux pas créer des modules pour chaque cas particulier car c'est bien trop long.


RE: Utilisation d'un éditeur HTML - Holy - 16-02-2013

Ben c'est simple, si tu laisses implémenter du JS en brut, on peut récupérer l'identifiant de session et l'envoyer par requête Ajax à n'importe quel site externe par exemple. C'est qu'un bête exemple.

Par contre, si ton unique soucis concerne les TS viewers, peut-être en existe-t-il un nombre limité ? Auquel cas tu peux implémenter un nombre restreint de gabarits (modèles) avec deux ou trois TS viewers de référence. Je ne sais pas trop à quoi ressemble les codes à implémenter mais je suppose que celui-ci doit renseigner l'adresse IP du serveur ou une ID spécifique. Il te reste alors à demander à tes membres de renseigner les infos nécessaires à l'affichage du TS viewer et non le code en tant que tel. Tu aurais le contrôle sur ton code javascript, ils auraient le contrôle sur le serveur où aller chercher les infos à afficher.