L'attribut contenteditable plaintext-only - Alsacreations

Résumé : l'attribut contenteditable est une faille XSS en soi car il permet d'injecter une balise script.

Pour éviter ça, contenteditable="plaintext-only".

Et si on a besoin de texte enrichi, on laisse contenteditable="true" mais on sanitize...

❝ 1 commentaire ❞

1  Jerry Wham le

C'est un peu comme un supertextarea.
De toute façon, "never trust user input" : la sanitization est obligatoire !

 

Fil RSS des commentaires de cet article

✍ Écrire un commentaire

les commentaires relevant du SPAM seront filtrés et dégagés direct...


spoiler
Quelle est le sixième caractère du mot k6m42ec5 ?