<rmcreative>

RSS

markdown не обязан быть безопасным

8 июля 2019

В прошлом году в пакете cebe/markdown, занимающимся переводом markdown в HTML, завели тикет о том, что обработка пропускает XSS. Я думал, случай непонимания единичный, но нет. Оказалось что ещё и CVE завели, так что на всякий случай:

Markdown не обязан быть безопасным. По задумке в нём допускается использование HTML, что автоматически означает что и XSS туда тоже можно засунуть.

Если используете markdown для пользовательского ввода, не забудьте прогнать вывод санитайзером вроде HTML Purifier. Конфиг для него в случае cebe/markdown может быть таким.

Комментарии RSS

  1. №11538
    Sergei
    Sergei 22 сент. 2019 г., 17:39:48

    Так если мы белый список разрешенных тегов имеем, зачем нам езе и purifier?

  2. №11542
    Sam
    Sam 02 окт. 2019 г., 1:12:13

    Список разрешённых тегов — это и есть простейший purifier.

  1. Почта опубликована не будет.

  2. Можно использовать синтаксис Markdown или HTML.

  3. Введите ответ в поле. Щёлкните, чтобы получить другую задачу.