Security patch: don't trust data by default in tables #252

christophehenry · 2025-09-02T13:22:28Z

🎯 Objectif

Comme discuté sur Mattermost, cette PR supprime la confiance par défault dans les cellules du tableau généré par dsfr_table et documente comment protéger le HTML contre l'échappement.

C'est évidemment un breaking change, donc je peux proposer une configuration DSFR_SAFE_STRING_DEFAULT qui est à True par défaut avec un warning qui indique que l'option disparaîtra à la prochaine majeure et qu'il faudra utiliser mark_safe.

Je réflchis à retirer le filtre safe à d'autres endroits aussi.

Ash-Crow · 2025-09-11T12:39:47Z

Je réflchis à retirer le filtre safe à d'autres endroits aussi.

Je pense qu'il faudrait effectivement appliquer ce changement de logique partout d'un coup

Security patch: don't trust data by default in tables

d3361d1

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

Security patch: don't trust data by default in tables #252

Security patch: don't trust data by default in tables #252

Uh oh!

christophehenry commented Sep 2, 2025 •

edited

Loading

Uh oh!

Ash-Crow commented Sep 11, 2025

Uh oh!

Uh oh!

Security patch: don't trust data by default in tables #252

Are you sure you want to change the base?

Security patch: don't trust data by default in tables #252

Uh oh!

Conversation

christophehenry commented Sep 2, 2025 • edited Loading Uh oh! There was an error while loading. Please reload this page.

Uh oh!

🎯 Objectif

Uh oh!

Ash-Crow commented Sep 11, 2025

Uh oh!

Uh oh!

christophehenry commented Sep 2, 2025 •

edited

Loading