Permet le rendu des fichiers html dans le navigateur #1

Open

Melcore wants to merge 1 commit from html_render into main

pull from: html_render

merge into: AFPy:main

AFPy:main

AFPy:wyz

Conversation 2 Commits 1 Files changed 1 +2

Melcore commented 2023-05-11 23:14:34 +02:00

Owner

Copy link

Afin d'ajouter réellement des fonctionnalités de blog, on peut rendre les fichiers html, css, js normalement sans pygments.

J'ai pas les moyens de tester si y a pas de bug, et je voulais soumettre l'idée rapidement.

Afin d'ajouter réellement des fonctionnalités de blog, on peut rendre les fichiers html, css, js normalement sans pygments. J'ai pas les moyens de tester si y a pas de bug, et je voulais soumettre l'idée rapidement.

Melcore added 1 commit 2023-05-11 23:14:35 +02:00

Permet le rendu des fichiers html dans le navigateur ... 00a2df14ff

Afin d'ajouter réellement des fonctionnalités de blog, on peut rendre les fichiers html, css, js normalement sans pygments.

J'ai pas les moyens de tester si y a pas de bug, et je voulais soumettre l'idée rapidement.

mdk commented 2023-05-12 16:23:20 +02:00

Owner

Copy link

À première vue, tel que c'est implémenté, ça ne fonctionne pas car paste_to_html n'est appelée que si 'html' est dans l'entête Accept, ce qui n'est pas le cas lorsque le navigateur demande un CSS ou un JS.

Côté coloration syntaxique, on pourrait s'en sortir pour le CSS et le JS :

• On a toujours 'html' dans le Accept quand le navigateur veut afficher la page donc peut le présenter joliment avec la coloration syntaxique.
• On a jamais 'html' dans l'entête Accept quand le navigateur veut un fichier JS ou CSS donc on peur le fournir "brut".

Et vu que le test actuel (sans cette PR) est "html" in headers.get("Accept") alors le comportement est déjà le bon, pas besoin de toucher au code pour délivrer du JS et du CSS proprement.

Par contre pour le HTML c'est foutu on a aucun moyen de savoir si l'utilisateur veut la version "brute" (pour faire faire le rendu HTML a son navigateur), ou "coloriée" (pour partager du HTML a ses amis).

Bon pour le HTML on a une solution : il suffit de mettre du HTML inline dans le Markdown, ça aussi ça fonctionne déjà, démo :

https://p.afpy.org/summary.md

Donc la seule chose qui manque pour faire ce que tu veux c'est juste d'enlever bleach.

Comme ça dans du Markdown on pourrait rajouter des balises <script, <meta, <form, etc, etc...

Il reste à réfléchir à l'aspect sécu d'enlever Bleach.

Sans Bleach on permet d'exécuter du JS sur le domaine afpy.org (en changeant l'origine de p.afpy.org à afpy.org, ce qui est autorisé.

Est-ce que ça ouvre des attaques CSRF contre afpy.org, peut-être, mais est-ce qu'on s'en fout vu que ça sera bientôt un site static ? Peut-être.

Est-ce que ça ouvre des attaques CSRF contre git.afpy.org, discuss.afpy.org, ... ? Je pense mais ça mérite de creuser.

À première vue, tel que c'est implémenté, ça ne fonctionne pas car paste_to_html n'est appelée que si `'html'` est dans l'entête `Accept`, ce qui n'est pas le cas lorsque le navigateur demande un CSS ou un JS. Côté coloration syntaxique, on pourrait s'en sortir pour le CSS et le JS : - On a toujours 'html' dans le Accept quand le navigateur veut afficher la page donc peut le présenter joliment avec la coloration syntaxique. - On a jamais 'html' dans l'entête Accept quand le navigateur veut un fichier JS ou CSS donc on peur le fournir "brut". Et vu que le test actuel (sans cette PR) est `"html" in headers.get("Accept")` alors le comportement est déjà le bon, pas besoin de toucher au code pour délivrer du JS et du CSS proprement. Par contre pour le HTML c'est foutu on a aucun moyen de savoir si l'utilisateur veut la version "brute" (pour faire faire le rendu HTML a son navigateur), ou "coloriée" (pour partager du HTML a ses amis). Bon pour le HTML on a une solution : il suffit de mettre du HTML inline dans le Markdown, ça aussi ça fonctionne déjà, démo : https://p.afpy.org/summary.md Donc la seule chose qui manque pour faire ce que tu veux c'est juste d'enlever bleach. Comme ça dans du Markdown on pourrait rajouter des balises `<script`, `<meta`, `<form`, etc, etc... Il reste à réfléchir à l'aspect sécu d'enlever Bleach. Sans Bleach on permet d'exécuter du JS sur le domaine `afpy.org` (en changeant l'origine de p.afpy.org à afpy.org, [ce qui est autorisé](https://developer.mozilla.org/fr/docs/Web/Security/Same-origin_policy#changer_lorigine). Est-ce que ça ouvre des attaques CSRF contre `afpy.org`, peut-être, mais est-ce qu'on s'en fout vu que ça sera bientôt un site static ? Peut-être. Est-ce que ça ouvre des attaques CSRF contre `git.afpy.org`, `discuss.afpy.org`, ... ? Je pense mais ça mérite de creuser.

mdk commented 2023-05-25 15:41:40 +02:00

Owner

Copy link

Par contre, on pourrait autoriser l'upload d'image, le rendu d'une image ... c'est l'image pas modifiée.

Ça permettrai d'utiliser des images (![]()) côté Markdown.

Par contre, on pourrait autoriser l'upload d'image, le rendu d'une image ... c'est l'image pas modifiée. Ça permettrai d'utiliser des images (`![]()`) côté Markdown.

This pull request has changes conflicting with the target branch.

• paste/views.py

View command line instructions

Manual merge helper

Use this merge commit message when completing the merge manually.

Merge commit title Merge pull request 'Permet le rendu des fichiers html dans le navigateur' (#1) from html_render into main

Merge commit body Reviewed-on: https://git.afpy.org/AFPy/pasteque/pulls/1

Merge pull request 'Permet le rendu des fichiers html dans le navigateur' (#1) from html_render into main Reviewed-on: https://git.afpy.org/AFPy/pasteque/pulls/1 Copy merge commit message

Checkout

From your project repository, check out a new branch and test the changes.

git fetch -u origin html_render:html_render

git switch html_render

Merge

Merge the changes and update on Forgejo.

Warning: The "Autodetect manual merge" setting is not enabled for this repository, you will have to mark this pull request as manually merged afterwards.

git switch main

git merge --no-ff html_render

git switch html_render

git rebase main

git switch main

git merge --ff-only html_render

git switch html_render

git rebase main

git switch main

git merge --no-ff html_render

git switch main

git merge --squash html_render

git switch main

git merge --ff-only html_render

git switch main

git merge html_render

git push origin main

Sign in to join this conversation.

Reviewers

No reviewers

Labels

Clear labels

No items

No labels

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

2 participants

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

AFPy/pasteque!1

No description provided.