MEE/Scald Flash/Scald Image: Sanitize values before display 7.x-1.1
authorFranck Deroche
Wed, 24 Jul 2013 12:12:50 +0000 (14:12 +0200)
committerFranck Deroche
Wed, 24 Jul 2013 12:12:50 +0000 (14:12 +0200)
modules/fields/mee/mee.module
modules/providers/scald_flash/scald_flash.module
modules/providers/scald_image/scald_image.module

index 9694bad..a1ae39a 100644 (file)
@@ -303,7 +303,9 @@ function mee_field_widget_form_alter(&$element, &$form_state, $context) {
     if (!is_object($atom)) {
       continue;
     }
-    $title = $atom->title;
+
+    // Render the atom to get sanitized values.
+    $title = scald_render($atom, 'title');
 
     $element['mee']['resource_manager'][$sid] = array(
       'title' => array(
index 2a379e5..8e5cb1b 100644 (file)
@@ -97,7 +97,7 @@ function scald_flash_scald_prerender($atom, $context, $options, $mode) {
     $atom->rendered->player = theme('scald_flash_object',
       array('vars' =>
         array(
-          'flash_uri'      => file_create_url($atom->file_source),
+          'flash_uri'      => $atom->rendered->file_source_url,
           'flash_width'   => ($atom->scald_width[$langcode][0]['value'] ? $atom->scald_width[$langcode][0]['value'] : 480),
           'flash_height'  => ($atom->scald_height[$langcode][0]['value'] ? $atom->scald_height[$langcode][0]['value'] : 365),
           'thumbnail'     => $atom->thumbnail_source,
@@ -108,6 +108,15 @@ function scald_flash_scald_prerender($atom, $context, $options, $mode) {
 }
 
 /**
+ * Preprocess variables for the Scald Flash Object template.
+ */
+function template_preprocess_scald_flash_object(&$vars) {
+  foreach (array('flash_width', 'flash_height') as $attribute) {
+    $vars['vars'][$attribute] = check_plain($vars['vars'][$attribute]);
+  }
+}
+
+/**
  * Implements hook_theme.
  */
 function scald_flash_theme() {
index 2af2ff4..8204f88 100644 (file)
@@ -183,7 +183,7 @@ function scald_image_scald_prerender($atom, $context, $options, $mode) {
     $atom->rendered->player = '
       <figure class="' . implode(' ', $classes) . '">
         ' . $atom->rendered->player . '
-        <figcaption>' . $caption . '</figcaption>
+        <figcaption>' . filter_xss_admin($caption) . '</figcaption>
       </figure>
     ';
   }