Bug #1142

[SECURITY] target=_blank ohne rel=noopener ermöglicht XSS

Von following vor mehr als 1 Jahr hinzugefügt. Vor mehr als 1 Jahr aktualisiert.

Status:erledigt% erledigt:

100%

Priorität:2 mittel
Zugewiesen an:following
Zielversion:Version 3.1.5
Ticket Referenz: Kategorien:listing logs profil

Beschreibung

Siehe https://mathiasbynens.github.io/rel-noopener.

Bei target="_blank" im User-Content sollte also zwangsweise rel="noopener" hinzugefügt werden.

Historie

#1 Von following vor mehr als 1 Jahr aktualisiert

  • Status wurde von neu zu offen geändert
  • Zugewiesen an wurde auf following gesetzt
  • Zielversion wurde auf Version 3.1.5 gesetzt
  • Kategorien wurde auf listing logs profil gesetzt

Ich denke es genügt, wenn man das für alle neu eingegebenen HTML-Texte korrigiert. Bislang sind ja keine Missbrauchsfälle bekannt.

#2 Von following vor mehr als 1 Jahr aktualisiert

  • Status wurde von offen zu in Arbeit geändert

#3 Von following vor mehr als 1 Jahr aktualisiert

This has been fixed with HTMLPurifier 4.8.0.

#4 Von teiling88 vor mehr als 1 Jahr aktualisiert

  • Status wurde von in Arbeit zu erledigt geändert
  • % erledigt wurde von 0 zu 100 geändert
  • Privat wurde von Ja zu Nein geändert

Auch abrufbar als: Atom PDF