WordPress : des problèmes de sécurité si vous utilisez l’attribut html data-* pour l10n ?

Publié par Jean-Michel le

Je dois transmettre un objet javascript multidimensionnel localisé à une page. L’objet est construit en utilisant php et représente certains paramètres du thème wp. Je ne peux pas trouver un moyen d’utiliser wp_localize_script pour cela, car il n’analysera pas les tableaux multidimensionnels.

Au lieu de cela, j’ai trouvé la solution d’utiliser un attribut html5 data-* pour cela, puis d’utiliser jQuery pour le récupérer, en espérant que cette méthode fournira une compatibilité x-navigateur.

Lire également:  inclure le fichier d'en-tête hors du dossier de thèmes wordpress

Donc, sur la page où j’ai besoin d’accéder aux données localisées, je laisse la sortie php :

<div id="localized" style="display:none" data-localized='{"user": "Doe", "skills": {"html":5, "css":4, "php":3} }'>

J’obtiens ensuite ces données localisées en utilisant:

var my_localazed_data = $('#localized').data('localized');

Ça fonctionne bien. Mais mon souci ici est :

1) Ce navigateur est-il compatible ?

2) Y a-t-il un problème de sécurité à prendre en compte par rapport à l’utilisation de wp_localize_script ?

Lire également:  Wordpress : Liste les pages enfants du parent de la page actuelle

Solution n°1 trouvée

Q : 1.) Ce navigateur est-il compatible ?

Oui, pour tous les navigateurs prenant en charge jQuery data(). jQuery est généralement pris en charge par la plupart des navigateurs modernes.

Q : 2) Y a-t-il un problème de sécurité à prendre en compte par rapport à l’utilisation de wp_localize_script ?

wp_localize_script()fait principalement la même chose, mais il conserve les données côté serveur et non dans le DOM.

Lire également:  wordpress : impossible d'obtenir l'identifiant de catégorie lorsque l'URL de référencement est activée

Comme toujours, l’utilisation de javascript et l’interaction avec le DOM ont des implications sur la sécurité. Vous devez suivre les règles pour coder et décoder correctement toutes les données arbitraires en toute sécurité afin que les injections ne puissent pas introduire de comportement involontaire.

Catégories : Wordpress

Jean-Michel

Jean-Michel est en charge de la partie blog du site. Il met en place la stratégie de contenu et répond aux questions fréquentes sur Wordpress.

0 commentaire

Laisser un commentaire

Avatar placeholder

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *