Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > fr.comp.lang.javascript > #2931

Re: Échappement html et javascript

From Yliur <yliur@free.fr>
Newsgroups fr.comp.lang.javascript
Subject Re: Échappement html et javascript
Date 2015-07-08 00:55 +0200
Organization Groupes francophones par TrigoFACILE
Message-ID <20150708005512.4c92e7ce@free.fr> (permalink)
References <20150707090522.2929985c@free.fr> <wt9mvz8co8e.fsf@mirabeau.mines-albi.fr>

Show all headers | View raw

Le Tue, 07 Jul 2015 11:26:41 +0200
Paul Gaborit <Paul.Gaborit@invalid.invalid> a écrit :

> 
> À (at) Tue, 7 Jul 2015 09:05:22 +0200,
> Yliur <yliur@free.fr> écrivait (wrote):
> 
> > A priori dans mes pages ça fonctionne comme ça : dans le code html à
> > proprement parler (par exemple le code d'un événement sur un champ
> > de saisie) je dois appliquer les échappements js puis html, mais
> > dans la balise <script> seulement les échappements js. Testé avec
> > Firefox seulement.
> >
> > Est-ce que quelqu'un peut confirmer/infirmer ça ? C'est normal,
> > c'est écrit dans une norme quelque part ?
> 
> C'est normal... Et c'est expliqué et détaillé dans les recommandations
> HTML5 (cf. section 4.11.1.2).
> 
> Pour HTML4, le contenu d'un élément "script" est de type CDATA. Ce
> type est décrit par :
> 
>      Le type CDATA représente une séquence de caractères, issus du jeu
>      de caractère du document, qui peut inclure des entités de
>      caractères. Les agents utilisateurs devraient interpréter les
>      valeurs d'attributs ainsi :
>        - remplacer les entités de caractères par les caractères
>          correspondants ;
>        - ignorer les sauts de ligne ;
>        - remplacer chaque retour chariot ou tabulation par un espace
>          simple.
> 
> Mais un peu plus loin, on trouve :
> 
>      Bien que les éléments STYLE et SCRIPT utilisent le type « CDATA »
>      pour leur modèle de données, les agents utilisateurs doivent
>      interpréter différemment le type CDATA pour ceux-ci. Le balisage
> et les entités doivent être traités comme du texte brut et passés tel
>      quel à l'application. La première occurence de la séquence de
>      caractères « </ » (délimiteur d'ouverture de balise fermante) est
>      traitée comme terminant la fin du contenu de l'élément. Dans les
>      documents valides, ce serait la balise fermante de l'élément.

D'accord, je vais creuser tout ça. Merci pour les références.

Back to fr.comp.lang.javascript | Previous | NextPrevious in thread | Find similar

Thread

Échappement html et javascript Yliur <yliur@free.fr> - 2015-07-07 09:05 +0200
  Re: Échappement html et javascript Paul Gaborit <Paul.Gaborit@invalid.invalid> - 2015-07-07 11:26 +0200
    Re: Échappement html et javascript Yliur <yliur@free.fr> - 2015-07-08 00:55 +0200

csiph-web