html_safe_escape |
HTML : Sauvegarde l'échappement |
| Liquid |
Syntaxe
|
{{ texte | html_safe_escape }}
|
Paramètres
| Nom |
Description |
| texte |
Ce paramètre permet d'indiquer la chaîne de caractères à échapper de manière sécurisée pour une insertion dans du HTML. |
Description
Ce filtre permet d'échapper une chaîne de manière sécurisée pour HTML, tout en conservant certaines balises autorisées.
Remarques
- Filtrage intelligent du HTML malveillant : Le filtre html_safe_escape est conçu pour protéger l'affichage
HTML tout en permettant certains éléments sûrs. Contrairement à escape ou h, neutralisant tous les caractères
HTML, ce filtre permet de conserver certaines balises autorisées comme <strong>
ou <em>.
- Idéal pour les contenus semi-riches générés par l'utilisateur : Lorsqu'un portail permet aux utilisateurs de saisir des descriptions formatées (par exemple :
via un éditeur HTML ou Markdown), html_safe_escape offre un bon compromis entre sécurité et flexibilité. Il évite les
scripts malveillants tout en autorisant un minimum de mise en forme.
- Protège contre les attaques XSS : Ce filtre est particulièrement utile dans la lutte contre les injections de scripts
(XSS). Il empêche l'exécution de balises dangereuses comme
<script>, tout en rendant possible l'utilisation de contenu HTML inoffensif, renforçant la sécurité côté client.
- Utilisé dans des zones d'affichage dynamique : Dans un portail Dynamics 365, ce filtre peut être
employé dans des sections de contenu dynamique, comme les descriptions de produits, commentaires ou actualités, là où le
HTML doit être autorisé mais contrôlé.
- Plus permissif que escape mais toujours encadré : Contrairement au filtre escape, qui convertit tous les symboles spéciaux
HTML, html_safe_escape est plus permissif. Il laisse passer certaines balises, mais ignore ou désactive celles
considérées à risque, selon une liste blanche prédéfinie.
- Peut poser des limites selon les balises autorisées : La principale limite de ce filtre est qu'il n'offre pas un contrôle explicite sur les balises
autorisées. Si une balise HTML utile (exemple : <iframe>) n'est pas supportée, elle sera échappée, ce qui peut frustrer certains éditeurs de contenu.
- À privilégier dans les interfaces accessibles au public : Dans les portails ou extranet
Dynamics 365 où le contenu est ouvert au public, il est essentiel
d'éviter tout affichage non sécurisé. Ce filtre permet d'afficher des données riches tout en limitant les risques d'exploitation de failles HTML.
- Complémentaire à la validation côté serveur : Même si ce filtre améliore la sécurité de l'affichage, il ne remplace pas la validation côté serveur. Il doit
être utilisé en complément de mécanismes de validation/sanitation pour éviter que des balises indésirables soient stockées dans la base de données.
Dernière mise à jour : Jeudi, le 24 Juillet 2025
