-
Notifications
You must be signed in to change notification settings - Fork 18
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Garantir dados seguros em campos que usam markdown #228
Comments
@NeoVier can you look into this issue? We should check all fields that accept markdown |
Besides the ones listed on the issue description, these fields accept markdown:
Also, action titles are plain text (not markdown) From the frontend perspective, this isn't really a problem (I'm thinking of JS injection, I'm not sure if there's something else we should worry about from the frontend perspective), because:
It's nice to keep in mind that, behind the scenes, we just wrap around quill (a rich text editor component) to receive input. That input is in a format that quill understands, which uses json. We have a module created by us that manually converts that to a markdown AST, and then to markdown before sending it to the backend, to make it easier to store and to use in other places (e.g. emails). That means we could actually convert it to any format that's easier for the backend to parse, if we wish to |
Fazendo uma pesquisa não sei se temos muito pra se preocupar. Usamos o Ecto pra interagir com o banco de dados, que já possui proteções contra injeções de SQL [1, 2]. Então acredito que só precisamos continuar utilizando o Ecto. Quanto a outras vulnerabilidades de injeção de código, tentei um pouco pelo GraphQl, mas não tive sucesso. Quem sabe podemos conversar melhor sobre outras vulnerabilidades @lucca65? |
bro da uma pesquisada mais a fundo sobre XSS, que é a vulnerabilidade que estamos buscando evitar |
Uma referência de como isso é feito em Python: https://github.com/Wenzil/mdx_bleach |
Descrição do Problema
Atualmente os campos que aceita markdown não estão sendo sanitizados.
Implementar códigos que garantam a sanitização de dados para que não estejamos vulneráveis a ataques de injeção.
Campos de interesse:
The text was updated successfully, but these errors were encountered: