[angular] Emotikony |
[angular] Emotikony |
7.07.2018, 01:24:55
Post
#1
|
|
Grupa: Zarejestrowani Postów: 170 Pomógł: 14 Dołączył: 16.03.2007 Ostrzeżenie: (0%) |
Cześć, potrzebuje w treści wprowadzonej przez użytkownika wstawić emotikony
w skrócie zamienić
na
Wykonuje to przy pomocy .replace() i .bypassSecurityTrustHtml(), problem pojawia się w sytuacji gdy użytkownik wyśle wiadomość o treści co pozwala na atak XSS. Macie pomysł jak wybrnąć z tej sytuacji? Angular 2+ dokładniej 5.2.0 |
|
|
10.07.2018, 10:50:15
Post
#2
|
|
Grupa: Zarejestrowani Postów: 170 Pomógł: 14 Dołączył: 16.03.2007 Ostrzeżenie: (0%) |
Aby wyświetlić emotikone, potrzebowałem zaznaczyć że przekazany tekst jest bezpieczny do renderowania.
W ten sposób osoba atakująca mogła wrzucić w treść wiadomości <iframe> czy inne tagi. Zapomniałem, że mogę najpierw zrobić escape na otrzymanej wiadomości, później dokonać podmiany i na samym końcu oznaczyć jako "safe" |
|
|
Wersja Lo-Fi | Aktualny czas: 29.03.2024 - 01:55 |