Suivi — Sondages Exécution de javascript

#210 Posté par  (site web personnel) . État de l’entrée : corrigée. Assigné à Bruno Michel.
Étiquettes :
4
25
fév.
2011

J'ai proposé un sondage, avec un choix contenant du javascript. Le code a été exécuté.
Vu que la soumission de tickets de suivi est publique et que tout le monde est au courant, je vous suggère noscript avant d'auditer les propositions sondages qui seraient arrivées entre temps…

  • # Corrigé

    Posté par  (site web personnel) . Évalué à 3 (+0/-0).

    Merci de nous avoir remonté le problème. L'attaque XSS n'avait lieu que sur la prévisualisation, les champs étant échappés juste avant d'être insérés en base de données. Mais c'est toujours mieux quand c'est corrigé.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.