Nous sommes en décembre et bientôt toutes les applications développées sur la plateforme low-code Zoho Creator devront respecter le nouveau framework de sécurité du contenu HTML mis en place progressivement par les équipes de Zoho Creator.

Si ce n’est pas déjà fait, ne vous inquiétez pas, Zoho Creator vous donne la possibilité de tester l’impact de ce changement sur votre application. Mais attention! il ne reste plus longtemps avant que tous les utilisateurs soient automatiquement impactés par ce nouveau framework.

Les éléments HTML ciblés par la mise à niveau

Le contenu HTML des pages, rapports et formulaires seront vérifiés pour les éléments suivants:

  • Seules les balises standard du W3C seront autorisées
  • Seules les Propriétés CSS standard seront autorisées
  • Suppression des scripts JavaScript ou codés dans les attributs HTML
  • Seuls les attributs standards des balises HTML seront interprétés les attributs utilisateur ne le seront plus

Impact sur les Formulaires

Le nom d’affichage et la description du champ seront interprétés après vérification des éléments ci-dessus.

Impact sur les Rapports

Dans les rapports, les balises HTML présentes dans les données de formulaire de divers champs doivent être vérifiées. Le nouveau framework de sécurité traite différents types de champs de 2 manières:

  • Toutes les balises HTML seront affichées sous forme de texte brut. Les champs concernés sont les suivants: Ligne unique, Lignes multiples, E-mail, Menu déroulant / Radio, Case à cocher / Multisélect, Boîte de décision, Utilisateurs et Intégration.
  • Le contenu sera affiché après vérification des éléments vus plus haut (balises HTML non valides, styles non valides, rejet de script et attributs personnalisés). Les champs concernés sont les suivants: URL, image, signature, formule, téléchargement de fichier, audio et vidéo.

Impacts sur les Pages

Tout le contenu de la page sera interprété après vérification des éléments vus plus haut (balises HTML non valides, styles non valides, rejet de script et attributs personnalisés).

Impact sur iframe et Openurl

Les tâches OpenURL avec des composants publics incorporés  (creator.zohopublic.com) ne seront pas autorisées à accéder ou à réaliser des actions dans la fenêtre parente.

La mise à jour de sécurité empêchera le contenu d’iframe d’utiliser des plug-ins de navigateur. À la place, vous pourrez utiliser la balise <embed> pour interpréter le contenu PDF externe en HTML.

Processus de validation

Ces évolutions pouvant avoir un impact non négligeable sur le bon fonctionnement de vos applications, nous vous conseillons de réaliser la vérification proposée par Zoho Creator.

Les 4 étapes de la vérifications des applications Zoho Creator

1- Valider les applications Zoho Creator

Repérez la pop-up de notification de mise à niveau du framework de sécurité et cliquez sur le bouton orange “Validate Application”.

2- Sélectionner l’application Zoho Creator à valider

La liste des applications du compte est affichée.

Liste des applications Zoho Creator à valider

Cliquer sur une des applications Zoho Creator à tester. Un volet s’ouvre sur la droite, contenant la liste des pages concernées par la mise à niveau. Cliquer sur le bouton “Start Testing” pour activer la mise à niveau pour ce compte uniquement (il sera possible ultérieurement d’appliquer les modifications pour tous les utilisateurs).

Sélectionner l'application Zoho Creator à tester

3- Vérifier l’application Zoho Creator

L’application s’ouvrira dans un nouvel onglet. Il faut vérifier les différences d’affichages des pages listées dans le volet de droite de l’écran précédent.

4- Activer la mise à niveau pour tous les utilisateurs

S’il n’y a pas de différence ou après les modifications sur le code HTML effectué, vous pourrez activer la mise à niveau pour tous les utilisateurs en cliquant sur le bouton bleu en haut de page “Enable for all users”.

Vous pourrez retrouver la communication sur cette mise à niveau, en anglais, sur le site de Zoho Creator .

Zoho Creator: Évolution de la sécurité du contenu HTML
Taggé sur :