LSsearch :: extraDisplayedColumns : add escape parameter

2024-11-18 00:09:06 +01:00 · 2018-09-20 15:27:34 +02:00 · 2018-09-20 15:27:34 +02:00 · 753a888bf2
commit 753a888bf2
parent a42bcb0e3d
2 changed files with 15 additions and 2 deletions
--- a/doc/conf/LSobject/LSsearch.docbook
+++ b/doc/conf/LSobject/LSsearch.docbook
@ -49,7 +49,8 @@ configuration des &LSobjects;, dans la variable <varname>LSsearch</varname>
    'col2' => array(
      'label' => 'label column 2',
      'generateFunction' => '[fonction de génération]',
-      'additionalAttrs' => array('[attr1]', '[attr2]', ...)
+      'additionalAttrs' => array('[attr1]', '[attr2]', ...),
+      'escape' => [booléen],
    ),
    'col3' => array(
      'label' => 'label column 3',
@ -341,6 +342,18 @@ contexte dans lequel cette recherche est effectuée.</para>
        </listitem>
      </varlistentry>

+      <varlistentry>
+        <term>escape</term>
+        <listitem>
+          <simpara>Ce paramètre booléen permet de définir si, lors de l'affichage, le contenu de
+          la colonne doit être transformé pour protéger les caractères éligibles en entités HTML.
+          Par défaut, ce paramètre est <literal>Vrai</literal>.</simpara>
+          <warning><simpara>Cette fonctionnalité existe pour des raisons de sécurité et notamment
+          en protection des failles <literal>XSS</literal>. Si vous désactivez cette fonctionnalité,
+          il est important de gérer la problématique de sécurité par ailleurs.</simpara></warning>
+        </listitem>
+      </varlistentry>
+
      <varlistentry>
        <term>cssStyle</term>
        <listitem>
--- a/public_html/templates/default/viewSearch.tpl
+++ b/public_html/templates/default/viewSearch.tpl
@ -96,7 +96,7 @@
        {if $LSsearch->displaySubDn}<td class='LSobject-list'>{$object->subDn|escape:"htmlall"}</td>{/if}
        {if $LSsearch->extraDisplayedColumns}
          {foreach from=$LSsearch->visibleExtraDisplayedColumns item=conf key=cid}
-          <td class='LSobject-list'{if $conf.cssStyle} style='{$conf.cssStyle|escape:"htmlall"}'{/if}>{$object->$cid|escape:"htmlall"}</td>
+          <td class='LSobject-list'{if $conf.cssStyle} style='{$conf.cssStyle|escape:"htmlall"}'{/if}>{if !isset($conf.escape) || $conf.escape}{$object->$cid|escape:"htmlall"}{else}{$object->$cid}{/if}</td>
          {/foreach}
        {/if}
        <td class='LSobject-list LSobject-list-actions'>