Vous pouvez utiliser du HTML dans les variables TWIG, mais vous devez l’autoriser explicitement avec le filtre safe_html. Cela permet de garantir la sécurité.
Pourquoi le HTML ne fonctionne-t-il pas directement dans TWIG ?
Aivie a renforcé les mesures de sécurité et le traitement du HTML dans les variables TWIG a donc été restreint. La raison en est que le HTML non contrôlé peut représenter un risque de sécurité, par exemple via du JavaScript intégré ou des contenus externes.
Par conséquent, les règles suivantes s’appliquent désormais :
- Les fonctions telles que
|rawne sont plus autorisées - Pas de balises HTML directes via des jetons
- Uniquement une sortie sécurisée et contrôlée via les fonctions TWIG autorisées
Solution : utilisez le filtre safe_html
Pour continuer à utiliser le HTML, un nouveau filtre TWIG est disponible : safe_html.
Ce filtre autorise une liste définie de balises HTML sécurisées. Cela vous permet de continuer à utiliser des contenus structurés tels que des tableaux, des mises en forme ou des mises en page simples.
Sont interdits, par exemple :
- JavaScript
- iFrames
- Images
- Contenus externes présentant un risque potentiel
Les éléments HTML autorisés sont basés sur la liste officielle du désinfecteur (MDN HTML Sanitizer API).
Exemple
Voici comment afficher correctement du HTML dans une variable TWIG :
<td valign="top" style="width: 100%">
{{ item.name | safe_html }}
</td>
Important : le filtre doit être appliqué partout où du HTML est attendu.
Quelles sont les améliorations supplémentaires ?
- Visualisation et édition directes de TWIG dans l’éditeur d’e-mails, de pages de destination et de contenus dynamiques
- L’éditeur de code de l’Aivie Builder prend désormais en charge TWIG de manière native (Linting, Type Ahead, formatage, extraits)
- Aperçu amélioré des contenus TWIG
Conclusion
Les balises HTML sont possibles dans TWIG, mais uniquement de manière contrôlée via le filtre safe_html. Vous combinez ainsi flexibilité et sécurité tout en évitant les risques liés à un code non sécurisé.
