Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Contenue de news dans le menu de gauche... #354

Open
Nono-m0le opened this issue Nov 18, 2014 · 5 comments
Open

Contenue de news dans le menu de gauche... #354

Nono-m0le opened this issue Nov 18, 2014 · 5 comments

Comments

@Nono-m0le
Copy link
Contributor

Alors celle-là, c'est du jamais vu :D
J'ai ajouté ce flux : http://ontheroofs.com/feed/ et depuis, j'ai du contenu, à la place de la liste des flux...
@Nono-m0le Nono-m0le changed the title Contenu dans la liste des flux .. Contenue de news dans le menu de gauche... Nov 18, 2014
@tontof
Copy link
Owner

tontof commented Nov 18, 2014

Je viens d'ajouter http://tontof.net/feed/?currentHash=7rkryA#feed-7rkryA
Son code est mal formaté du coup il ferme des balises et fait planter le graphisme de KrISS feed.
En expanded ça bugge : http://tontof.net/feed/?currentHash=7rkryA&view=expanded
Mais pas en liste : http://tontof.net/feed/?currentHash=7rkryA&view=list
C'est donc de la faute du flux :-)
Il faudrait appliquer un html purifier pour supprimer ce problème

@Nono-m0le
Copy link
Contributor Author

cette article me fait la même chose : http://www.digitalmunition.me/?p=3314

@tontof
Copy link
Owner

tontof commented Dec 16, 2014

C'est toujours le même problème. C'est de la faute de tes flux :-p
Si tu veux les corriger tu peux essayer de remplace cette ligne:
https://github.com/tontof/kriss_feed/blob/master/index.php#L2228

<?php echo $item['content']; ?>

par

<?php
$docItem = new DOMDocument();
$docItem->loadHTML(mb_convert_encoding($item['content'], 'HTML-ENTITIES', "UTF-8"), LIBXML_HTML_NOIMPLIED);
echo $docItem->saveHTML();
?>

@Nono-m0le
Copy link
Contributor Author

Je vais essayer (à l'occas=si j'ai le temps), mais l'issue relevé ici, c'est surtout : Est-ce normal que le contenu d'un flux, altère mon lecteur RSS ?
N'est-ce-pas une faille XSS ?

Je me dit que mon lecteur DOIT être indépendant du code qu'il lit ... D'ou peut-être l'idée de parser tout le contenu (surtout les valeurs html) et faire un check d'ouverture/fermeture !
Je préfère avoir l'un ou l'autre flux qui me marque "attention, flux incorrect, merci de lire l'article directement" plutot que me taper ce genre d'erreur, prendre peur, et risquer de perdre mes datas !

@tontof
Copy link
Owner

tontof commented Dec 16, 2014

Ici ce n'est pas un problème XSS mais un problème lié à la validation html de tes flux.
Il n'y a par contre aucun test effectué pour lutter contre les attaques XSS. Si le flux sur lequel tu es abonné contient du code javascript il sera exécuté comme si tu allais sur le site.
En théorie il y a effectivement des risques mais de mon côté je pars du principe que les flux que je suis sont clean.
Si tu as vraiment peur je pense que tu peux ajouter un code pour utiliser CSP pour filtrer le js
http://www.w3.org/TR/CSP/
J'envisage une approche différente pour la suite de KrISS feed qui permettra de filtrer tout ça plus facilement et au choix mais je n'ai malheureusement pas le temps de m'en occuper pour le moment :-(

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@tontof @Nono-m0le