J'ai proposé un sondage, avec un choix contenant du javascript. Le code a été exécuté.
Vu que la soumission de tickets de suivi est publique et que tout le monde est au courant, je vous suggère noscript avant d'auditer les propositions sondages qui seraient arrivées entre temps…
# Corrigé
Posté par Bruno Michel (site web personnel) . Évalué à 3 (+0/-0).
Merci de nous avoir remonté le problème. L'attaque XSS n'avait lieu que sur la prévisualisation, les champs étant échappés juste avant d'être insérés en base de données. Mais c'est toujours mieux quand c'est corrigé.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.