Nous hébergeons actuellement le service Limesurvey (Community Edition) au sein de notre établissement et nous souhaiterions désactiver le paramètre de sécurité "Filtrer le HTML contre le XSS", de façon à permettre aux propriétaires de questionnaires (qui n'ont donc pas un rôle administrateur, mais ont néanmoins la capacité de créer et de publier des questionnaires) d'intégrer des balises de type <audio> ou <embed> ou <iframe> dans leur(s) questionnaire(s). Notre question est la suivante : la désactivation de ce paramètre de sécurité est-elle uniquement limitée à l'interface de construction des questionnaires (/admin) ou agit-elle également au niveau du filtrage des contenus déposés par les usagers répondant aux questionnaires publiés ? En d'autres termes, si nous désactivons ce paramètre, un code malveillant inséré dans une réponse à un questionnaire sera-t-il toujours filtré et éliminé au moment de l'enregistrement de la réponse ?
Un grand merci par avance pour toute aide ou retour sur la question ...
Le XSS est toujours activé pour les répondants, ou plus exactement : on ne filtre que le minimum à l'enregistrement (par exemple : on ne tente pas d'enregistrer du texte sur une question de type nombre).
Cependant : à l'affichage c'est toujour filtré. Si ce n'est pas le cas : c'est un bogue de sécurité majeur.
Si tu as confiance en tes gestionnaires de questionnaire (ou tu as un contrat clair) : pas de soucis de désactiver cette option.
Assistance on LimeSurvey forum and LimeSurvey core development are on my free time.
I'm not a LimeSurvey GmbH member,
professional service on demand
,
plugin development
. I don't answer to private message.
