Au programme
Pour ce 32e épisode du #VFTPodcast, nous avons eu le plaisir de recevoir Alexandra Spalato, une développeuse WordPress qui est tombée amoureuse de Gatsby. Pionnière française de l’utilisation de cette autre manière de propulser WordPress (en mode sans tête ou « headless »), elle partage avec nous son expertise sur ce sujet très tendance actuellement.
Utiliser Gatsby requiert une certaine expérience du JavaScript Moderne et plus particulièrement de la bibliothèque React et de GraphQL (un language de requête pour dialoguer plus précisément avec ses données).
Après un départ en trombe dans la technique, nous avons repris notre souffle pour tenter de bien vous expliquer les particularités de cette nouvelle approche et vous présenter certains de ses avantages comme les possibles gains de performance, réductions des risques de sécurité, etc.. Bonne dégustation !
Avec
Ecoutez!
Liens utiles
- Gatsby :
- site officiel (en),
- article présentant une nouvelle approche de mise à disposition des contenus (en)
- Netlify un hébergeur de sites développés via Gatsby,
- Solutions pour le e-commerce via Gatsby :
- GraphQL :
- site officiel (en)
- l’extension WordPress : WP-GraphQL
- Alternative :
- Gridsome (pour celles et ceux qui sont plus Vue que React)
On en a aussi parlé
- Le prochain meetup de WP Paris est planifié pour le 21 novembre et reviendra sur le sujet de ce #VFTPodcast.
- Le WordCamp Marseille, c’est le 29 novembre 2019 et il reste une poignée de tickets !
Patrick dit
Bonjour, J’ai écouté votre épisode hier. J’aurais pas mal de choses à redire, mais je vais revenir sur l’histoire de la sécurité.
Les injections XSS. c’est du code injecté dans la base de données via un formulaire. Cela peut ne pas être grave si le code js n’est pas exécuté/évalué en front. Malheureusement, quand on utilise Gatsby avec WP, ce dernier donne que du code html brut (venant de Gut) et il est donc impossible de faire autrement que de l’afficher avec « dangerouslySetInnerHTML ». Fonction qui interprète js en front. Donc oui, il est possible d’injecter un gatsby via une mutation dans la base et d’avoir un code malveillant en front.
Le problème vient principalement du format d’enregistrement des posts par WP. Si, les blocs dans un futur proche peuvent être récupérés sous forme d’objet afin de pouvoir itérer dessus en front, le problème sera en partie résolu. merci, bonne journée.
Patrick, dev spécialisé en JS/React et Gatsby.
Grégoire Noyelle dit
Bonjour,
Merci beaucoup Patrick ton ton message. Et si le site n’utilise pas Gutenberg, est-ce moins dangereux?
Patrick dit
Comme vous l’avez indiqué dans le podcast, il faut effectivement garder les bons réflexes pour cleaner toutes les données qui viennent de l’utilisateur. Gatsby ou pas.
Effectivement, si les données arrivent brutes (non-HTML), elle peuvent être insérées dans le code JSX sans avoir à les interpréter. Et là, c’est plus sécure.
Pour moi, Gutenberg est une très bonne chose pour wordpress. Reste à le faire encore évoluer correctement pour qu’il enregistre les data sous forme d’objet en plus du html (peut être faisable avec les commentaires générés par gut).