Je prévois de suivre <a href="http://theos.in/wordpress/howto-change-list-of-allowed-html-tags-in-wordpress/">ce tutoriel</a> afin de permettre à mes abonnés d'ajouter des images aux commentaires (en fait, un type de message personnalisé appelé "Réponses").Wordpress filtre les tags <code><img></code> par défaut (sauf pour l'admin).Mon site Wordpress sera-t-il vulnérable aux scripts XSS (Cross-Site Scripting) si j'autorise les balises HTML img dans ma section de commentaires?

Beaucoup de mauvaises choses peuvent être faites en incluant une image. La question est de savoir comment WordPress les filtre. Pour vous donner une idée:<ul> <li> <a href="http://ha.ckers.org/blog/20070603/image-upload-xss/">Les noms de fichiers doivent être vérifiés correctement.</a> </li> <li> <a href="http://www.databasesandlife.com/xss-attack-images/">Les données d'image réelles peuvent contenir du javascript.</a> </li> <li> <a href="http://www.aloshbennett.in/weblog/2010/web-2-0/cross-site-scripting-through-image-exif/">De plus, les données EXIF peuvent contenir du javascript.</a> </li> </ul>

Mon site Wordpress deviendra-t-il vulnérable au script intersite (XSS) si j'autorise les tags img dans la zone de commentaires?

Je prévois de suivre ce tutoriel afin de permettre à mes abonnés d'ajouter des images aux commentaires (en fait, un type de message personnalisé appelé "Réponses").

Wordpress filtre les tags <img> par défaut (sauf pour l'admin).

Mon site Wordpress sera-t-il vulnérable aux scripts XSS (Cross-Site Scripting) si j'autorise les balises HTML img dans ma section de commentaires?

htmlsecurity

23 mai 2011janoChen

Beaucoup de mauvaises choses peuvent être faites en incluant une image. La question est de savoir comment WordPress les filtre. Pour vous donner une idée:

Les noms de fichiers doivent être vérifiés correctement.
Les données d'image réelles peuvent contenir du javascript.
De plus, les données EXIF peuvent contenir du javascript.

23 mai 2011Geert