1630 sujets

Formats, encodage, internationalisation, XML

Le markup échapé est filtré par les lecteurs RSS ?

Hillo,

À la suite de britanicus75, j'ai moi aussi ma petite question sur le RSS.

Dans un fil RSS, j'ai écrit une note dans laquelle je donne quelques exemples afin d'être plus parlant. Les exemples utilisait du texte représentant du balisage, mais avec échappement bien entendu (via les entités nommées < et >).

Mais voilà que je m'aperçois que le lecteur RSS de Opera, d'Internet Explorer 7 et de FireFox, filtre tout simplement ce texte avec échappement, alors que ces entités sont pourtant des entités standard en XML (la spécification XML autorise leur usage sans déclarations d'entité préalables). Safari, lui, n'affiche tout simplement pas du tout le billet en question (les autres navigateurs se contentant simplement de filtrer le balisage d'exemple).

Surpris mais à priori pensant à un péché d'ignorance de ma part, je file directos vérifier si la spécification RSS en dit quelque chose : rien, walou.

La spéc RSS ne dit rien à ce sujet, et ne semble pas l'interdit particulièrement.

Alors c'est quoi cette histoire ? Est-ce que les lecteurs RSS le bloqueraient pas sécurité ?

Étant donné le consensus entre tous ces lecteurs de flux, il doit bien exister quelque part un document qui y fait mention, et qui est probablement la cause de ce consensus.

Des idées sur ce mystère ?
Modifié par hibou57 (18 Apr 2009 - 07:47)
Je suis revenu sur le question, en cherchant sur Yahoo, des documents sur la sécurité et le RSS.

Et j'ai trouvé

ZDNet a écrit :
Mais comme tout véhicule de l'information sur le web, le format RSS peut aussi être abusé. Car il n'est finalement qu'un dialecte XML, qui permet de pointer vers des contenus HTML traditionnels. Il "embarque" les descriptions de ces derniers et fournit généralement un lien vers le contenu propre sur le site de son éditeur. C'est un format tellement souple qu'il permet également d'inclure, avec la description au format HTML, de nombreux objets, et en premier lieu des scripts. Autant de contenus interprétés dans le navigateur standard ou directement dans le lecteur.

Source : Les flux RSS posent des questions de sécurité (zdnet.fr)

Description au format HTML ? Bigre! Smiley eek

Je n'ai pourtant jamais vu la moindre mise en HTML dans mes RSS (normal, j'utilise Opera, voir plus loin) et la spécification RSS ne fait aucune mention d'un formatage HTML dans les éléments item/description.

C'est donc de bonne fois que j'ai toujours cru que le RSS ne diffusait que du texte brut.

Dans le doute, je teste, et j'ajoute du un formatage HTML dans un billet factice.
Résultat :
* Opera : affichage comme du texte brute (n'interprète pas le HTML, mais filtre - strip - le balisage)
* FireFox : même comportement que Opera
* Internet Explorer 7 : affiche le billet formaté en vertu du HTML transcrit avec échappement !
* Safari : comme Internet Explorer 7.

À lire les commentaires qui suivent l'article de « Les flux RSS posent des questions de sécurité », je ne suis pas le/la seul(e) surpris.

Imbolcus a écrit :
mais qu'est ce que c'est que ce delire ???
En quoi RSS est responsable de ces problemes ?
un syndicateur RSS fonctionne d'une maniere tres simple : il recupere du contenu sous forme XML (texte) et l'affiche avec une presentation particuliere... il n'y a pas d'interpretation qqconque de code ou de n'importe quoi, c'est justement au navigateur de faire ce boulot lorsque le lien contenu dans le flux est selectionne.


Et ce n'est pas la seule réaction du genre.

Pourtant encore plus bas, dans le message #5...

actusecu.info a écrit :
Un article RSS peut contenir du HTML, lequel sera interprété par le moteur de gestion HTML du poste client (MSIE dans notre cas). Si ce moteur est buggé, alors il y a un risque. CQFD.


Bon, éh bien il y a ceux qui savaient et ceux qui ne savaient pas.

Mais une question reste en suspend : d'où vient cette interprétation d'Internet Explorer 7 et Safari, sachant que la norme RSS n'introduit pas cette possibilité. Et pourtant ce doit être assez répandu, et pas spécifique à ces derniers, puisque les deux autres navigateurs testés, se font un devoir de filtrer, et savent donc que le cas peut se produire.

Z'en pensez quoi ?
Modifié par hibou57 (18 Apr 2009 - 15:41)
Sujet clos
Aller à