[Frontend] - intro/footer - ajout du pipe safeHTML pour prise en compte des attributs style

[jbrieuclp]

A défaut de fichiers css associés (ou a moins qu'il faille indiquer les classes CSS dans le fichier custom/css/frontend.css) l'ajout du pipe safeHTML permet de prendre en compte les attributs styles indiqués dans la config du contenu de l'introduction et du footer.

[codecov]

Codecov Report

All modified and coverable lines are covered by tests ✅

Project coverage is 78.44%. Comparing base (45fec53) to head (49f4011).

Additional details and impacted files

@@           Coverage Diff            @@
##           develop    #2956   +/-   ##
========================================
  Coverage    78.44%   78.44%           
========================================
  Files           89       89           
  Lines         7199     7199           
========================================
  Hits          5647     5647           
  Misses        1552     1552           

Flag	Coverage Δ
pytest	78.44% <ø> (ø)

Flags with carried forward coverage won't be shown. Click here to find out more.

☔ View full report in Codecov by Sentry.
📢 Have feedback on the report? Share it here.

[jacquesfize]

Personnellement, je pense qu'il ne faut pas utiliser le safeHTML dans ce cas précis. Même si je comprends la praticité de pouvoir ajouter un attribut style, safeHTML est une méthode qui peut poser de graves problèmes de sécurités (voir documentation Angular : https://angular.io/api/platform-browser/DomSanitizer#bypasssecuritytrusthtml). J'aurais conseillé
bypassSecurityTrustStyle() (https://angular.io/api/platform-browser/DomSanitizer#bypasssecuritytruststyle) qui réduit le contexte du bypass... malheureusement, la méthode ne fonctionne uniquement sur une string contenant une balise <style> (il supprime le HTML dans le pipe).

[jbrieuclp]

Mais si on contextualise la chose : le HTML provient du fichier de config et il est normalement écrit par l'administrateur du serveur. De fait, j'ose espérer que l'admin ne soit pas autant malveillant au point d'intégrer du code malicieux dans son intro ou son bas de page !
Si le safeHTML était utilisé pour parser du code écrit par un utilisateur lambda via un éditeur type tinyMCE, là dans ce cas, je suis ok avec toi sur le côté délicat de la chose.
Si par malheur du code malicieux se trouve injecté dans le fichier de config.toml, ben il y a plus à s'inquiéter de la fuite des IDs de connexions que de l'ajout d'une balise script dans l'HTML.

[TheoLechemia]

Oui, on a discuté de ça avec Jacques : l’injection possible vient du fichier de config, donc on s'entend que le risque est limité.
Cependant sur certaines instances de gens qui n'ont pas accès au serveur, ce fichier a été mis accessible depuis un FTP par exemple.
Sur des précédents texte de sécurité de GeoNature, c'est un des premiers trucs qui avait été testé : injecter du code malveillant dans les input du front + dans la config.
Il y a quelque années j'aurais aussi dit, va y on s'en fout.. le projet grandissant on a un peu la responsabilité de ne pas introduire ce genre de "petite" faille dans le code. Donc si c'est possible de la faire via le custom css, je privilégierai ça (d'autant qu'avec les classe utilitaire de Bootstrap, tu peux faire dejà pas mal de truc en css juste en rajoutant des classes)

[jbrieuclp]

soit ! Donc custom.css