Summary: | the need to escape HTML special chars | ||
---|---|---|---|
Product: | Infrastructure | Reporter: | Michael Shigorin <mike> |
Component: | packages.altlinux.org | Assignee: | Igor Zubkov <icesik> |
Status: | CLOSED FIXED | QA Contact: | |
Severity: | normal | ||
Priority: | P3 | ||
Version: | unspecified | ||
Hardware: | all | ||
OS: | Linux | ||
Bug Depends on: | |||
Bug Blocks: | 22555 |
Description
Michael Shigorin
2011-08-29 11:12:14 MSK
Подтвержаю. Это XSS. Хотя сами Ruby on Rails должны эскейпить выхлоп. Надо будет написать тесты для такмх случаем, может выяснится что где-то ещё такое есть. В старых рельсах почему-то helper simple_format не экранировал выхлоп. В новых просто вырезает. Заэскейпил, теперь будет нормально. Будет в продакшене чуть позже. |