Project

General

Profile

Bug #11702

HTML Special Char makes no sense for 'allbut' if '&' is forbidden

Added by Carsten Rose 12 months ago. Updated 6 months ago.

Status:
New
Priority:
Normal
Assignee:
Target version:
Start date:
06.12.2020
Due date:
% Done:

0%

Estimated time:
Discuss:

Description

  • Siehe #5112
  • Das '&' sollten wir erlauben, denn mit HTMLSpecialChar wird es kodiert.
  • Ist '&' verboten, ist der Nutzen von allbut nicht sehr hoch.
  • Ist '&' erlaubt und Encode=none - kann gefaehrliches passieren.

Hier ist eine lange Liste mit Moegelichen Angriffen: https://owasp.org/www-community/xss-filter-evasion-cheatsheet

Waere es sinnvoll bei 'encode=None' eine Warnung anzuzeigen (anstelle der aktuellen sinnlosen)?


Files

allbut.png (52.3 KB) allbut.png Carsten Rose, 06.12.2020 15:01

Related issues

Related to QFQ - Feature #5112: FormElement Check Type = allbut nicht kompatibel mit Encode = SpecialcharClosedElias Villiger14.12.2017

Actions

Also available in: Atom PDF