Feature #11702: HTML Special Char makes no sense for 'allbut' if '&' is forbidden - QFQ - Project @ iMath

Actions

Copy link

Feature #11702

open

HTML Special Char makes no sense for 'allbut' if '&' is forbidden

Added by Carsten Rose over 3 years ago. Updated over 2 years ago.

Status:

New

Priority:

Normal

Assignee:

Carsten Rose

Target version:

next3

Start date:

06.12.2020

Due date:

% Done:

Estimated time:

Discuss:

Prio Planung:

Vote:

Description

Siehe #5112
Das '&' sollten wir erlauben, denn mit HTMLSpecialChar wird es kodiert.
Ist '&' verboten, ist der Nutzen von allbut nicht sehr hoch.
Ist '&' erlaubt und Encode=none - kann gefaehrliches passieren.

Hier ist eine lange Liste mit Moegelichen Angriffen: https://owasp.org/www-community/xss-filter-evasion-cheatsheet

Waere es sinnvoll bei 'encode=None' eine Warnung anzuzeigen (anstelle der aktuellen sinnlosen)?

Files

allbut.png

View allbut.png

52.3 KB

Carsten Rose, 06.12.2020 15:01

Related issues

History
Notes
Property changes

Actions

Copy link

Also available in: Atom PDF

Project

General

Profile

QFQ

Custom queries

Feature #11702

HTML Special Char makes no sense for 'allbut' if '&' is forbidden

Updated by Carsten Rose over 3 years ago

Updated by Carsten Rose over 3 years ago

Updated by Carsten Rose almost 3 years ago

Updated by Carsten Rose almost 3 years ago

Updated by Carsten Rose almost 3 years ago

Updated by Carsten Rose over 2 years ago

Updated by Carsten Rose almost 2 years ago