Contactez-nous
01 85 08 22 65

Consulting Drupal

Besoin d'assistance technique spécifique à Drupal, nos experts sont à votre disposition.
En savoir plus

Formations Drupal

Besoin de formation sur Drupal? Consultez nos offres INTER et INTRA entreprise.
En savoir plus

Comprendre les formats de texte

ven, 19/10/2012 - 10:58 -- Romain Jarraud

Le système de format de texte dans Drupal est souvent mal utilisé car sous-estimé. Il est pourtant essentiel de bien le paramétrer pour eviter des failles de sécurité.

Dans tous les champs de formulaire de Drupal où il est possible de choisir le format de texte, l'utilisateur peut saisir du code HTML afin de jouer sur la mise en forme. Il existe par défaut 3 formats différents :

  • Filtered HTML : seules certaines balises HTML sont interprêtées.
  • Full HTML : toutes les balises HTML sont interpêtées.
  • Plain text : aucune balises HTML n'est interprêtée.

Il vous est possible d'utiliser ceux par défaut ou d'en ajouter autant que nécessaire. Suivant le choix de l'un ou l'autre de ces formats, le système va filtrer en sortie le code enregistré. Tout ce que l'utilisateur saisit est stocké en base et c'est au moment de l'affichage que Drupal filtre. Chaque format de texte est une collection de filtres. Il en existe 5 par défaut:

  • Limiter aux balises HTML autorisées
  • Afficher tout code HTML au format texte
  • Convertir les sauts de ligne en HTML (par exemple, <br> et <p>)
  • Convertir les URL en liens
  • Corriger le HTML défectueux ou coupé

Chaque format de texte peut activer ou non ces différents filtres. Il est possible alors d'indiquer dans quel ordre ils seront utilisés. De plus pour chaque format il faut renseigner les rôles autorisés à l'utiliser. Ceci est évidemment primordial pour n'autoriser l'accès qu'à des utilisateurs de confiance.

Il est particulièrement important lorsque l'on veut installer un éditeur WYSIWYG, de bien configurer un des format de texte, de sorte que les balises générées par ce dernier ne soient pas ensuite filtrées par Drupal.

La protection des formulaires d'un site est indispensable et passe par une bonne connaissance des formats de texte dans Drupal. Le mécanisme de contrôle est présent de base, mais encore faut-il l'utiliser correctement. Cela n'est ni compliqué, ni long. A vous d'en faire bon usage.

Ajouter un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
By submitting this form, you accept the Mollom privacy policy.