fix(frontend): security XSS / image tag

[maxgfr]

fix #4028
fix #3560

Note : une fois mergé, il faudra vérifier que maintenant la page est valide :
https://validator.w3.org/nu/?doc=https%3A%2F%2Fcode-du-travail-numerique-master.dev.fabrique.social.gouv.fr%2Fmodeles-de-courriers%2Frupture-du-contrat-en-periode-dessai-a-linitiative-du-salarie
Si c'est bon, on peut passer à OK la RGAA 8.2 P10

[m-maillot]

Je pense que ça vient de l'assainissement des données, du coup on a bien l'image 👍
Mais par contre on a un autre bug sur la première partie :

PS: Top le passage en TSX 👍

[maxgfr]

Je pense que ça vient de l'assainissement des données, du coup on a bien l'image 👍 Mais par contre on a un autre bug sur la première partie :

PS: Top le passage en TSX 👍

Oui, merci 😄

[carolineBda]

A la fin on utilise quand meme dangerouslySetInnerHTML ?

Je vois plusieurs exemple avec html-react-parser, c'était pas mieux ?

[carolineBda]

c'est bizarre que ça rajoute une class vide

[maxgfr]

Oui, c'est vrai, bonne question

[maxgfr]

En vrai, c'est dû au parsing fait par le xss, qui essaye de retirer le plus de choses externes. Mais en soit, relou si ça génère des <div class="" .. dans la prod

[maxgfr]

Dans la prod, il me semble que ça ne génère pas cela, donc pour moi c'est ok j'ai l'impression

[carolineBda]

c'est juste qu'avant on l'ajoutait pas et maintenant oui

[maxgfr]

@carolineBda

A la fin on utilise quand meme dangerouslySetInnerHTML ?

Oui, mais on passe des propriétés qui ont été au préalable parse

Je vois plusieurs exemple avec html-react-parser, c'était pas mieux ?

Sur la doc de html-react-parser :

Is this XSS safe?

No, this library is not XSS (cross-site scripting) safe. See #94.

Does invalid HTML get sanitized?

No, this library does not sanitize HTML. See #124, #125, and #141.

Are <script> tags parsed?

Although <script> tags and their contents are rendered on the server-side, they're not evaluated on the client-side. See #98.

Ok 👍

[maxgfr]

Balises HTML utilisée sur :

code-du-travail

• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/code-du-travail/annexe-a-larticle-r1422-4?q=article%20L12
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/code-du-travail/r4532-76?q=article%20L12
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/code-du-travail/r8115-9?q=article%20L12

fiche-ministere-travail

• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/fiche-ministere-travail/activite-partielle-chomage-partiel?q=activit%C3%A9%20partielle
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/fiche-ministere-travail/ethers-de-glycol#Donnees-generales

fiche-service-public

• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/fiche-service-public/alertes-pour-la-prevention-des-difficultes-des-entreprises
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/fiche-service-public/avantages-en-nature-et-frais-professionnels-quelles-differences
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/fiche-service-public/impot-sur-le-revenu-avantages-en-nature

glossaire

• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/glossaire/conges-speciaux
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/glossaire/en-numeraire
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/glossaire/delit-dentrave

modeles-de-courrier

• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/modeles-de-courriers/rupture-dun-commun-accord-dun-contrat-de-travail-a-duree-determinee
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/modeles-de-courriers/lettre-de-licenciement-pour-motif-disciplinaire
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/modeles-de-courriers/demande-de-rendez-vous-en-vue-dune-rupture-conventionnelle
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/modeles-de-courriers/rupture-dun-commun-accord-dun-contrat-de-travail-a-duree-determinee

contributions avec le composant Answer et Contributions

• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/contribution/travail-du-dimanche-quelle-contrepartie?q=travail

dossiers avec le composant Answer

• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/dossiers/ministere-du-travail-notre-dossier-sur-le-coronavirus

informations avec le composant Answer et Accordion

• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/information/pass-sanitaire-et-contrat-de-travail
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/information/covid-19-reagir-en-cas-de-contamination-dans-lentreprise-protocole-national
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/information/covid-19-integrer-le-risque-sanitaire-dans-lentreprise-protocole-national
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/information/personnes-vulnerables-reprise-dactivite-ou-activite-partielle
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/information/covid-19-les-mesures-de-protection-en-entreprise-protocole-national
• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/information/covid-19-integrer-le-risque-sanitaire-dans-lentreprise-protocole-national

integrations-js avec le composant Accordion

• https://code-du-travail-numerique-maxgfr-image-affich-431pjn.dev.fabrique.social.gouv.fr/integration

[maxgfr]

Les class="" ne semble pas venir du code traité pas la balise Html. J'essaye de récupérer l'information de ces div, et je n'y arrive pas. Je ne comprends pas pq les snapshot réagissent comme cela. (cc: @carolineBda @m-maillot)

[carolineBda]

ok pour moi. Dommage pour les class vides mais c'est pas primordial du tout. @m-maillot tu peux review la PR du coup

[github-actions]

🎉 Deployment for commit fe8f3f3 :

Ingresses

• 🚀 api-code-du-travail-numerique-refs-pull-4030-merg-1ox.dev.fabrique.social.gouv.fr
• 🚀 code-du-travail-numerique-refs-pull-4030-merg-1oxzpq.dev.fabrique.social.gouv.fr

Docker images

• 📦 docker pull ghcr.io/socialgouv/cdtn/code-du-travail-api:sha-fe8f3f3a08fe825ae9cdc3a078a902a6de7695ca
• 📦 docker pull ghcr.io/socialgouv/cdtn/code-du-travail-frontend:sha-fe8f3f3a08fe825ae9cdc3a078a902a6de7695ca
• 📦 docker pull ghcr.io/socialgouv/docker/wait-for-http:6.56.1

Debug

• 📕 Loki logs for namespace code-du-travail-numerique-refs-pull-4030-merg-1oxzpq
• 📈 Pods monitoring for namespace code-du-travail-numerique-refs-pull-4030-merg-1oxzpq
• 📈 Workloads monitoring for namespace code-du-travail-numerique-refs-pull-4030-merg-1oxzpq
• 👮‍♂️ Project rancher code-du-travail-numerique-refs-pull-4030-merg-1oxzpq
• 👮‍♂️ Deployment api
• 👮‍♂️ Deployment www