fr:devel:security
Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
fr:devel:security [2016-03-03 13:38] – créée julieng | fr:devel:security [2016-03-03 14:04] – [Cross Site Scripting (XSS)] julieng | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | <note warning> | + | :!: Cette page n'est pas encore |
- | Cette page n'est pas encore | + | |
- | </ | + | |
====== Guide de sécurité à destination des auteurs de plugin ====== | ====== Guide de sécurité à destination des auteurs de plugin ====== | ||
Ligne 22: | Ligne 20: | ||
- | ===== Cross Site Scripting | + | Le mécanisme de gestion des plugins de DokuWiki permet aux développeurs de plugin un compromis intéressant de flexibilité. Dans le cas des extensions de syntaxe |
- | C'est la vulnérabilité la plus commune que vous pouvez trouver dans les plugins de DokuWiki. | + | === « Échapper » le contenu === |
- | //Cross Site Scripting// est la méthode permettant l' | + | La base minimale de sécurité de votre plugin devrait être de s' |
- | DokuWiki' | + | Les valeurs URL doivent être échappés en utilisant [[php> rawurlencode]]. |
- | ===Escaping output=== | + | En outre toutes les données wiki extraites et utilisées en interne |
- | At an absolute minimum the plugin should ensure any raw data output has all HTML special characters converted to HTML entities using the [[phpfn> | + | |
- | Also any wiki data extracted and used internally (eg. user names) should be treated with suspicion. | + | === Vérifier les données entrantes === |
- | ===Input checking=== | + | Vérifier **toujours** toutes les données entrantes. Pour cela utiliser les filtres, listes blanches ou la conversions |
- | Check always all your input. Use whitelists, filters, conversions | + | |
- | ==See also:== | + | == Voir également |
* [[wp> | * [[wp> | ||
* [[http:// | * [[http:// | ||
- | |||
==== Typical Vulnerability Examples ==== | ==== Typical Vulnerability Examples ==== | ||
fr/devel/security.txt · Dernière modification : 2020-08-16 09:39 de Digitalin