http://\"onmouseover="alert('42')" et ça troute le slip, le onmouseover se retrouve dans le tag, comme à 12:04:39
Suivi — Tribune Trou dans le slip
28
avr.
2011
http://\"onmouseover="alert('42')" et ça troute le slip, le onmouseover se retrouve dans le tag, comme à 12:04:39
# Corrigé
Posté par Bruno Michel (site web personnel) . Évalué à 2 (+0/-0).
Corrigé, cf https://github.com/nono/linuxfr.org/commit/e03e2da1fa5ba206e5f5704ac97489810bc24c88
[^] # Re: Corrigé
Posté par Anonyme . Évalué à 3 (+0/-0).
J'ai un vrai slip écrit en ruby si tu veux, qui devrait fonctionner moyennant qques modifs. Et qui n'a pas de trous.
[^] # Re: Corrigé
Posté par Bruno Michel (site web personnel) . Évalué à 2 (+0/-0).
Le problème a été remonté à la core team de Rails et a permis d'améliorer la protection contre les XSS de Rails. Cf http://weblog.rubyonrails.org/2011/6/8/potential-xss-vulnerability-in-ruby-on-rails-applications
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.