Suivi - Sondages Exécution de javascript

#210 Posté par (page perso) . État de l'entrée : corrigée
4
25
fév.
2011

J'ai proposé un sondage, avec un choix contenant du javascript. Le code a été exécuté.
Vu que la soumission de tickets de suivi est publique et que tout le monde est au courant, je vous suggère noscript avant d'auditer les propositions sondages qui seraient arrivées entre temps…

  • # Corrigé

    Posté par (page perso) . Évalué à 3 (+0/-0).

    Merci de nous avoir remonté le problème. L'attaque XSS n'avait lieu que sur la prévisualisation, les champs étant échappés juste avant d'être insérés en base de données. Mais c'est toujours mieux quand c'est corrigé.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.