[angular] Emotikony - Forum PHP.pl

[angular] Emotikony

Eagle Zobacz profil	7.07.2018, 01:24:55 Post #1
Grupa: Zarejestrowani Postów: 170 Pomógł: 14 Dołączył: 16.03.2007 Ostrzeżenie: (0%)	Cześć, potrzebuje w treści wprowadzonej przez użytkownika wstawić emotikony w skrócie zamienić [HTML] pobierz, plaintext Hello :) World [HTML] pobierz, plaintext na [HTML] pobierz, plaintext Hello <img src="/assets/smile.png"> World [HTML] pobierz, plaintext Wykonuje to przy pomocy .replace() i .bypassSecurityTrustHtml(), problem pojawia się w sytuacji gdy użytkownik wyśle wiadomość o treści [HTML] pobierz, plaintext Hello <a href="#">:)</a> World [HTML] pobierz, plaintext co pozwala na atak XSS. Macie pomysł jak wybrnąć z tej sytuacji? Angular 2+ dokładniej 5.2.0

Odpowiedzi (1 - 2)

markuz Zobacz profil	8.07.2018, 20:13:52 Post #2
Grupa: Zarejestrowani Postów: 1 240 Pomógł: 278 Dołączył: 11.03.2008 Ostrzeżenie: (0%)	Mógłbyś zaprezentować przykład takiego ataku na podstawie podmiany emotki na obrazek? Ten post edytował markuz 8.07.2018, 20:14:33 -------------------- Blog

Eagle Zobacz profil	10.07.2018, 10:50:15 Post #3
Grupa: Zarejestrowani Postów: 170 Pomógł: 14 Dołączył: 16.03.2007 Ostrzeżenie: (0%)	Aby wyświetlić emotikone, potrzebowałem zaznaczyć że przekazany tekst jest bezpieczny do renderowania. W ten sposób osoba atakująca mogła wrzucić w treść wiadomości <iframe> czy inne tagi. Zapomniałem, że mogę najpierw zrobić escape na otrzymanej wiadomości, później dokonać podmiany i na samym końcu oznaczyć jako "safe"

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Aktualny czas: 14.08.2025 - 05:04

Hosting zapewnia