Actions
Feature #11702
openHTML Special Char makes no sense for 'allbut' if '&' is forbidden
Start date:
06.12.2020
Due date:
% Done:
0%
Estimated time:
Discuss:
Prio Planung:
Vote:
Description
- Siehe #5112
- Das '&' sollten wir erlauben, denn mit HTMLSpecialChar wird es kodiert.
- Ist '&' verboten, ist der Nutzen von allbut nicht sehr hoch.
- Ist '&' erlaubt und Encode=none - kann gefaehrliches passieren.
Hier ist eine lange Liste mit Moegelichen Angriffen: https://owasp.org/www-community/xss-filter-evasion-cheatsheet
Waere es sinnvoll bei 'encode=None' eine Warnung anzuzeigen (anstelle der aktuellen sinnlosen)?
Files
Related issues
Updated by Carsten Rose over 3 years ago
- Related to Feature #5112: FormElement Check Type = allbut nicht kompatibel mit Encode = Specialchar added
Updated by Carsten Rose over 3 years ago
- Due date set to 18.12.2020
- Assignee changed from Marc Egger to Carsten Rose
Nach Ruecksprache mit Marc: Warnung kann entfernt werden, ist sowieso nicht mehr relevant, da & eingegeben werden kann.
Idee:
1) Aehliche Warnung fuer None + patter|allbut|all
2) auto kann bei 'specialchar' auf 'all' stehen.
Updated by Carsten Rose almost 3 years ago
- Due date changed from 18.12.2020 to 17.05.2021
Updated by Carsten Rose almost 3 years ago
- Due date deleted (
17.05.2021) - Target version changed from next5 to next3
Updated by Carsten Rose almost 2 years ago
- Related to Feature #14320: Allow specific HTML Tags and Attributes: general, TinyMCE added
Actions