- Posts: 4
- Thank you received: 0
Welcome to the LimeSurvey Community Forum
Ask the community, share ideas, and connect with other LimeSurvey users!
Paramètre de sécurité "Filtrer le HTML contre le XSS ..."
- SESSOU
- Topic Author
- Offline
- New Member
Less
More
1 year 6 months ago #232716
by SESSOU
Paramètre de sécurité "Filtrer le HTML contre le XSS ..." was created by SESSOU
Bonjour,
Nous hébergeons actuellement le service Limesurvey (Community Edition) au sein de notre établissement et nous souhaiterions désactiver le paramètre de sécurité "Filtrer le HTML contre le XSS", de façon à permettre aux propriétaires de questionnaires (qui n'ont donc pas un rôle administrateur, mais ont néanmoins la capacité de créer et de publier des questionnaires) d'intégrer des balises de type <audio> ou <embed> ou <iframe> dans leur(s) questionnaire(s). Notre question est la suivante : la désactivation de ce paramètre de sécurité est-elle uniquement limitée à l'interface de construction des questionnaires (/admin) ou agit-elle également au niveau du filtrage des contenus déposés par les usagers répondant aux questionnaires publiés ? En d'autres termes, si nous désactivons ce paramètre, un code malveillant inséré dans une réponse à un questionnaire sera-t-il toujours filtré et éliminé au moment de l'enregistrement de la réponse ?
Un grand merci par avance pour toute aide ou retour sur la question ...
Olivier L.
Nous hébergeons actuellement le service Limesurvey (Community Edition) au sein de notre établissement et nous souhaiterions désactiver le paramètre de sécurité "Filtrer le HTML contre le XSS", de façon à permettre aux propriétaires de questionnaires (qui n'ont donc pas un rôle administrateur, mais ont néanmoins la capacité de créer et de publier des questionnaires) d'intégrer des balises de type <audio> ou <embed> ou <iframe> dans leur(s) questionnaire(s). Notre question est la suivante : la désactivation de ce paramètre de sécurité est-elle uniquement limitée à l'interface de construction des questionnaires (/admin) ou agit-elle également au niveau du filtrage des contenus déposés par les usagers répondant aux questionnaires publiés ? En d'autres termes, si nous désactivons ce paramètre, un code malveillant inséré dans une réponse à un questionnaire sera-t-il toujours filtré et éliminé au moment de l'enregistrement de la réponse ?
Un grand merci par avance pour toute aide ou retour sur la question ...
Olivier L.
Please Log in to join the conversation.
- DenisChenu
- Offline
- LimeSurvey Community Team
Less
More
- Posts: 13648
- Thank you received: 2491
1 year 6 months ago #232718
by DenisChenu
Assistance on LimeSurvey forum and LimeSurvey core development are on my free time.
I'm not a LimeSurvey GmbH member, professional service on demand , plugin development .
I don't answer to private message.
Replied by DenisChenu on topic Paramètre de sécurité "Filtrer le HTML contre le XSS ..."
Le XSS est toujours activé pour les répondants, ou plus exactement : on ne filtre que le minimum à l'enregistrement (par exemple : on ne tente pas d'enregistrer du texte sur une question de type nombre).
Cependant : à l'affichage c'est toujour filtré. Si ce n'est pas le cas : c'est un bogue de sécurité majeur.
Si tu as confiance en tes gestionnaires de questionnaire (ou tu as un contrat clair) : pas de soucis de désactiver cette option.
Cependant : à l'affichage c'est toujour filtré. Si ce n'est pas le cas : c'est un bogue de sécurité majeur.
Si tu as confiance en tes gestionnaires de questionnaire (ou tu as un contrat clair) : pas de soucis de désactiver cette option.
Assistance on LimeSurvey forum and LimeSurvey core development are on my free time.
I'm not a LimeSurvey GmbH member, professional service on demand , plugin development .
I don't answer to private message.
The following user(s) said Thank You: SESSOU
Please Log in to join the conversation.
- SESSOU
- Topic Author
- Offline
- New Member
Less
More
- Posts: 4
- Thank you received: 0
1 year 6 months ago #232765
by SESSOU
Replied by SESSOU on topic Paramètre de sécurité "Filtrer le HTML contre le XSS ..."
Bonjour Denis,
Merci pour votre réponse rapide et précise.
Bien cordialement,
O.L.
Merci pour votre réponse rapide et précise.
Bien cordialement,
O.L.
Please Log in to join the conversation.
Moderators: Nickko