2013/3/14 Dsls <[email protected]> > Le 14 mars 2013 08:15, Julien Wajsberg <[email protected]> a écrit : > > bon, ce fix me plait pas du tout. > > 200% d'accord qu'il est crade, mais c'est un pis aller en attendant du js. > > > Moi j'essaierais bien tout simplement : > > > > if (count($_GET) > 1) > > { > > header('Content-Type: text/plain'); > > http::head(403,'Forbidden'); > > exit; > > } > Raté, si tu regardes admin/js/jquery.candyUpload.js, l'url avec plein > de paramètres est directement forgée via js, donc on ne peut pas faire > comme ça. >
Si je ne me trompe pas, candyUpload utilise les flashVars, donc un autre mécanisme ? (d'ailleurs ce mécanisme est peut-être aussi attaquable, tiens :) ) Je viens de vérifier sur une aptre page (pas directement sur DC) et je ne vois pas les flashVars passer dans l'URL. Du coup, je pense que ça vaut le coup de tester ce fix, et je vais même le faire tout de suite chez moi :p
_______________________________________________ Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
