[forge04]

Bonsoir à la communauté PhpBB fr,
je viens de mettre en place sur un forum PhpBB3, un BBCode qui permet l'insertion d'une carte Google map dans les messages.
J'ai un doute sur la sécurité de ce BBCode.

En effet, j'ai lu quelque part sur ce forum que l'on déconseille formellement la création d'un BBCode iframe comme celui-ci :

Code: Tout sélectionner

[Iframe]{TEXT}[/Iframe]

avec code HTML de remplacement :

Code: Tout sélectionner

<iframe width="700" height="450">{TEXT}</iframe>

La solution que j'ai retenue (ci-dessous) est-elle sûre, ou peut-elle être exploitée à des fins malicieuses ?

Code: Tout sélectionner

[Map]{TEXT}[/Map]

Code Html de remplacement :

Code: Tout sélectionner

<iframe width="700" height="450" frameborder="0" scrolling="no" marginheight="0" marginwidth="0" src="http://maps.google.fr/maps?{TEXT}"></iframe>

En vous remerciant pour vos avis, conseils et aide.

[lolovoisin]

bonjour,

vous utilisez toujours les iframe donc le résultat est le même.
A la place de la balise iframe, regardez plutot du cote de la balise object

[forge04]

Bonjour lolovoisin,
merci pour ce début de réponse.

J'aimerais, dans la mesure du possible, mieux comprendre le risque lié au BBCode que je mets en place parce que j'obtiens des réponses contradictoires.

• La votre penche pour un solution autre que la balise iframe.
• D'autres webmasters affirment que le risque est extrêmement faible dans la mesure ou le BBCode que je crée force l'url... en appelant uniquement du contenu en provenance de maps.google.fr :
  

  <iframe width="700" height="450" frameborder="0" scrolling="no" marginheight="0" marginwidth="0" src="http://maps.google.fr/maps?{TEXT}"></iframe>

  
  Le but de ce BBCode est en effet de se doter d'un outil capable d'insérer dans les messages une carte Google maps en provenance du site officiel.

Merci à ceux qui pourront m'apporter quelques éléments/précisions.
Forge04

[lolovoisin]

oui le risque est quasi nul, mais c'est le principe des iframes qui est moche.
voilà pourquoi il vaut mieux essayer d'utiliser la balise object que iframe.
Tenez regardez ici : support-utilisation-phpbb3/sujet170984.html#p1308191

[forge04]

Bonjour lolovoisin,
je suis allé consulter le post vers lequel vous me renvoyez.

La modification serait donc la suivant, pour ceux que cela intéresse :

Code: Tout sélectionner

<object id="map" width="700" height="450" scrolling="no" marginheight="0" marginwidth="0" data="http://maps.google.com/{TEXT}" type="text/html" />

J'avoue par contre que je n'ai pas trouvé de réponse lorsque vous dites :

mais c'est le principe des iframes qui est moche.

En quoi les iframes sont-elles moches dans leur principe ?
C'est une question naïve peut-être.

J'utilise personnellement les iframes lorsque je souhaite qu'un contenu soit visible par l'internaute sans être indexé par les moteurs de recherche [Ce n'est bien sûr pas le seul moyen que j'emploie pour protéger un contenu de son indexation...].

Si vous pouvez me préciser ce que vous entendez par moche (au sens de pas propre pour un codeur, sans doute), je vous en serais très reconnaissant.
Merci pour l'aide que vous m'avez apportée.
Forge04

[zach]

En quoi les iframes sont-elles moches dans leur principe ?
C'est une question naïve peut-être.

certaines sont moches, http://www1.webng.com/mvent2/iframeeg1.PNG

[forge04]

En effet zach... et, vu ton avatar, il semblerait que tu sois un esthète.
Plus sérieusement, le lien donné sur Google maps pour insérer une carte est prédéfinie en iframe.
Il est d'ailleurs possible de personnaliser et prévisualiser la carte à intégrer sur une page, en paramétrant les valeurs des attributs width, height... directement sur maps.google.fr.

[zach]

En effet zach... et, vu ton avatar, il semblerait que tu sois un esthète.
Plus sérieusement, le lien donné sur Google maps pour insérer une carte est prédéfinie en iframe.
Il est d'ailleurs possible de personnaliser et prévisualiser la carte à intégrer sur une page, en paramétrant les valeurs des attributs width, height... directement sur maps.google.fr.

Tu a deja eu 2 réponses similaires, gowap, lovoisin ... donc niveau sécurité les iframes c'est mal, pas parceque c'est une iframe, mais si l'url en question pose un prb de sécurité ...

Donc voila à chacun de voir si une url google peut poser un prb de sécurité, pose leur la question directement, t'aura qu'a dire que tu ne veut pas que les api google créent une faille de sécurité sur ton site

[forge04]

Je posais une nouvelle question zach. Je n'aime pas appliquer des recettes sans les comprendre, désolé.
J'ai eu deux avis à l'origine contradictoire, l'un m'incitant à employer la balise iframe, l'autre la balise object. Relis les échanges.

Maintenant la question que je pose est en substance, en quoi la balise object est-elle plus propre que la balise iframe ?
Je voulais simplement que cela soit précisé.

[zach]

J'ai eu deux avis à l'origine contradictoire, l'un m'incitant à employer la balise iframe, l'autre la balise object. Relis les échanges.

J'ai lu tes échanges, ici et sur d'autre forum, bon ben ca te fait un 3ème avis

iframe est à risque, si l'url n'était pas sécurisée, je ne suis pas certain que ce soit fondamentalement différent avec object de ce pt de vue

Maintenant la question que je pose est en substance, en quoi la balise object est-elle plus propre que la balise iframe ?

surement une histoire de html strict, http://blog.poplabs.com/2009/08/embeddi ... ml-strict/

en même tps, tout ca pour une map, tant personne va utiliser le bbcode ....

[forge04]

Salut zac,
sans avoir davantage cherché, ce que tu dis dans ta dernière intervention rejoint mon opinion (à confirmer) :

1. La balise iframe serait incorrecte d'un point de vue sémantique en xhtml strict
2. La question de la sécurité ne serait pas mieux traitée avec une balise object qu'une iframe.

Merci pour ces précisions.
A bientôt, à toute l'équipe et la communauté PHPbb-fr.