Project

General

Profile

Actions

Feature #11702

open

HTML Special Char makes no sense for 'allbut' if '&' is forbidden

Added by Carsten Rose almost 2 years ago. Updated 12 months ago.

Status:
New
Priority:
Normal
Assignee:
Carsten Rose
Target version:
Start date:
06.12.2020
Due date:
% Done:

0%

Estimated time:
Discuss:
Prio Planung:

Description

  • Siehe #5112
  • Das '&' sollten wir erlauben, denn mit HTMLSpecialChar wird es kodiert.
  • Ist '&' verboten, ist der Nutzen von allbut nicht sehr hoch.
  • Ist '&' erlaubt und Encode=none - kann gefaehrliches passieren.

Hier ist eine lange Liste mit Moegelichen Angriffen: https://owasp.org/www-community/xss-filter-evasion-cheatsheet

Waere es sinnvoll bei 'encode=None' eine Warnung anzuzeigen (anstelle der aktuellen sinnlosen)?


Files

allbut.png View allbut.png 52.3 KB Carsten Rose, 06.12.2020 15:01

Related issues

Related to QFQ - Feature #5112: FormElement Check Type = allbut nicht kompatibel mit Encode = SpecialcharClosedElias Villiger14.12.2017

Actions
Related to QFQ - Feature #14320: Allow specific HTML Tags and Attributes: general, TinyMCEFeedbackCarsten Rose14.06.2022

Actions
Actions #1

Updated by Carsten Rose almost 2 years ago

  • Related to Feature #5112: FormElement Check Type = allbut nicht kompatibel mit Encode = Specialchar added
Actions #2

Updated by Carsten Rose almost 2 years ago

  • Due date set to 18.12.2020
  • Assignee changed from Marc Egger to Carsten Rose

Nach Ruecksprache mit Marc: Warnung kann entfernt werden, ist sowieso nicht mehr relevant, da & eingegeben werden kann.

Idee:
1) Aehliche Warnung fuer None + patter|allbut|all
2) auto kann bei 'specialchar' auf 'all' stehen.

Actions #3

Updated by Carsten Rose over 1 year ago

  • Tracker changed from Support to Bug
Actions #4

Updated by Carsten Rose over 1 year ago

  • Due date changed from 18.12.2020 to 17.05.2021
Actions #5

Updated by Carsten Rose over 1 year ago

  • Due date deleted (17.05.2021)
  • Target version changed from next5 to next3
Actions #6

Updated by Carsten Rose 12 months ago

  • Tracker changed from Bug to Feature
Actions #7

Updated by Carsten Rose 6 months ago

  • Related to Feature #14320: Allow specific HTML Tags and Attributes: general, TinyMCE added
Actions

Also available in: Atom PDF