HTWEB

Cette mise à jour corrige un certain nombre de problèmes signalés depuis la dernière version et apporte quelques modifications à la façon dont les attributs d'événement sont gérés.En outre, une mise à jour de sécurité importante est incluse pour empêcher les attaques de script inter-sites potentielles.

Modifications des attributs d'événement

Les attributs d'événement peuvent exécuter du javascript et ne devraient donc être disponibles que pour les utilisateurs de confiance. Dans cette mise à jour et à l'avenir, les attributs d'événement sont désormais désactivés par défaut et seront supprimés du contenu créé ou modifié avec JCE. Les attributs d'événement peuvent être activés avec l'option "Autoriser les attributs d'événement" dans Profils de l'éditeur/Paramètres de l'éditeur/Avancé, ou avec l'option "Autoriser Javascript" dans le même onglet. Si l'option "Autoriser Javascript" est activée, autoriser les attributs d'événement sera automatiquement activé.

Un article récemment publié a démontré que de nombreux éditeurs WYSIWYG populaires étaient et sont vulnérables à une attaque de script intersite lors du collage de contenu copié à partir d'un site malveillant, en tirant parti des attributs d'événement dans le code HTML copié. Comme JCE utilise une version de l'éditeur Tinymce mentionnée dans l'article, il était également vulnérable à cet exploit potentiel. Cette mise à jour résout le problème en supprimant tous les attributs d'événement du contenu collé copié à partir de sources externes, sauf autorisation explicite dans les paramètres du Presse-papiers. En plus de cela, un meilleur traitement des commentaires HTML et des éléments multimédias, et un correctif dans la fonction éCaractères visuelsé, suppriment d'autres instances potentielles pourraient être exécutées par un utilisateur.