[Réglé] BBCODE flux rss

Pour les recherches et les demandes de modifications de styles concernant votre forum phpBB 3.2

Modérateur: Equipe

Règles du forum
A lire impérativement : Règlement de phpBB-fr.com - Conditions générales de support graphique

Attention : pour éviter les bogues, votre style doit être mis à jour en même temps que votre forum, et ce, dans la dernière version disponible de phpBB !

[Réglé] BBCODE flux rss

Messagepar Bluraydefectueux » 22 Sep 2018 à 14:24

Bonjour à tous (il se peut que je poste dans la mauvaise section, veuillez m'excuser par avance si ce n'est pas le bon endroit)

Sur mon forum en production (une version plus âgée, mais je suppose que ça ne change rien) j'ai besoin d'afficher des flux RSS en provenance d'autres forums. Ce que j'ai fait sur mon forum de test, à l'aide de Feedwind (un widget responsive externe que j'ai donc intégré dans l'overall_footer). Mais ça ne me plait plus, jusqu'au jour où je me suis dis pourquoi ne pas créer donc un BBCODE permettant d'insérer un flux dans un message. (j'aurais plus qu'a faire un topic par lien, c'est ce que je veux)

Je me suis servi de ce site, Feed2JS pour avoir le script, et pour le BBCODE voilà ce que j'ai fait:

Pour l'utilisation du BBCODE:

Code: Tout sélectionner
[feed={TEXT}]{TEXT1}[/feed]


la variable {TEXT} étant l'URL, et {TEXT1} le nombre d'articles à afficher.


Pour le code HTML de remplacement j'ai ça:

Code: Tout sélectionner
<script language="JavaScript" src="http://feed2js.org//feed2js.php?src={TEXT}&chan=y&num={TEXT1}&desc=1&au=y&date=y&utf=y"  charset="UTF-8" type="text/javascript"></script>

<noscript>
<a href="http://feed2js.org//feed2js.php?src={TEXT}&chan=y&num={TEXT1}&desc=1&au=y&date=y&utf=y&html=y">View RSS feed</a>
</noscript>


en gros ça donne ça:
Code: Tout sélectionner
[feed=http://url_flux]nombre_d'articles[/feed]


à la validation j'ai ce message:

Avertissement
Le BBCode que vous tentez d’ajouter semble utiliser un champ {TEXT} à l’intérieur d’un attribut HTML. Ceci est une éventuelle faille de sécurité XSS. Essayez d’utiliser à la place des variables plus restrictives comme {SIMPLETEXT} ou {INTEXT}. Procédez uniquement si vous comprenez les risques potentiels et que vous jugez l’utilisation de {TEXT} absolument inévitable.


Cependant ça fonctionne très bien.

Ma question est, est-ce que cela constitue réellement une faille ou n'est ce qu'un simple message d'avertissement. Cela dit (je ne compte pas afficher ce BBCODE dans l'éditeur de message) ?

Merci à vous.
Bluraydefectueux
Posteur néophyte
Posteur néophyte
 
Messages: 19
Enregistré le: 21 Juin 2016 à 13:44

Re: BBCODE flux rss

Messagepar Zoddo » 22 Sep 2018 à 16:18

Bonjour,

Oui, techniquement cela constitue une faille (n'importe qui peut injecter n'importe quel code HTML dans la page).

Ce code là devrait être plus sur :
Code: Tout sélectionner
[feed={URL}]{NUMBER}[/feed]

Code: Tout sélectionner
<script language="JavaScript" src="https://feed2js.org//feed2js.php?src={URL}&chan=y&num={NUMBER}&desc=1&au=y&date=y&utf=y"  charset="UTF-8" type="text/javascript"></script>

<noscript>
<a href="https://feed2js.org//feed2js.php?src={URL}&chan=y&num={NUMBER}&desc=1&au=y&date=y&utf=y&html=y">View RSS feed</a>
</noscript>
[Doc] Installer une extension - [Extension] Post Models - [Recrutement] Équipe des Extensions
Si vous considérez votre requête comme résolue, merci d'ajouter l'attribut de sujet [Réglé]
Zoddo
Equipe site
Equipe site
 
Messages: 6995
Enregistré le: 16 Mar 2011 à 17:44
Localisation: Laval / Le Mans

Re: BBCODE flux rss

Messagepar Bluraydefectueux » 22 Sep 2018 à 16:28

Effectivement et merci je n'avais pas pensé à ces variables. :D
Bluraydefectueux
Posteur néophyte
Posteur néophyte
 
Messages: 19
Enregistré le: 21 Juin 2016 à 13:44

Re: BBCODE flux rss

Messagepar Bluraydefectueux » 24 Sep 2018 à 09:58

PS: j'ai légèrement modifié mon code

Utilisation du BBCode

Code: Tout sélectionner
[feed={RELATIVE_URL}]{URL1},{NUMBER}[/feed]


Code HTML de remplacement

Code: Tout sélectionner
<script language="JavaScript" src="{URL1}//feed2js.php?src={RELATIVE_URL}&chan=y&num={NUMBER}&date=y&utf=y&html=a"  charset="UTF-8" type="text/javascript"></script>

<noscript>
<a href="{URL1}//feed2js.php?src={RELATIVE_URL}&chan=y&num={NUMBER}&date=y&utf=y&html=y">View RSS feed</a>
</noscript>


Feed2js propose une version du code à héberger sur son propre serveur, ce qui est plus intéressant pour moi car on peut modifier par exemple les paramètres de mise à jour des flux (initialement 1h, 60*60 soit 3600s)

{RELATIVE_URL} = l'adresse du flux, dans ceux partagés, un flux contient des chiffres qui ne sont pas interprétés avec {URL}
{URL1} = l'adresse du code source qui va interpréter le flux
{NUMBER}= le nombre de message à afficher, 0 l'intégralité disponible
Bluraydefectueux
Posteur néophyte
Posteur néophyte
 
Messages: 19
Enregistré le: 21 Juin 2016 à 13:44


Retourner vers [3.2.x] Modifications et recherche de styles

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité

cron