Skip to content
Browse files

escapen der message

  • Loading branch information...
1 parent b743eb3 commit a6c80a44b348e8eec00f9470b848ad2790b07bd3 @dergel dergel committed
Showing with 1 addition and 1 deletion.
  1. +1 −1 redaxo/include/functions/function_rex_other.inc.php
View
2 redaxo/include/functions/function_rex_other.inc.php
@@ -165,7 +165,7 @@ function rex_message($message, $cssClass, $sorround_tag)
if ($sorround_tag != 'p')
$return .= '<p>';
- $return .= '<span>'. $message .'</span>';
+ $return .= '<span>'. htmlspecialchars($message) .'</span>';
if ($sorround_tag != 'p')
$return .= '</p>';

5 comments on commit a6c80a4

@gharlan
REDAXO CMS c/o Yakamara Media GmbH & Co. KG member

@dergel Wozu ist das nötig? Einige Messages enthalten HTML-Elemente wie <b> und <br>, die sind nun so in der Message sichtbar..

@dergel
REDAXO CMS c/o Yakamara Media GmbH & Co. KG member

um XSS zu vermeiden.. Nicht, dass die Gefahr groß ist, weil man ja eingeloggt sein muss, aber dennoch besser, wenn man das vermeiden kann.. ich wusste gar nicht, dass auch HTML Tags übergeben werden. Ist das an vielen Stellen ?

@gharlan
REDAXO CMS c/o Yakamara Media GmbH & Co. KG member

Hmm, das spielt aber ja nur an den Stellen eine Rolle, an denen Messages über Parameter übergeben werden. Ich würde eher dort explizit drauf achten, und nicht allgemein immer. Ich glaube es sind schon einige Messages, die HTML enthalten, und wir wissen ja auch nicht, was so in den anderen Addons vorkommt.

@dergel
REDAXO CMS c/o Yakamara Media GmbH & Co. KG member

stimmt.. dann passen wir das lieber an den entsprechenden Stellen an.

@staabm
REDAXO CMS c/o Yakamara Media GmbH & Co. KG member

"um XSS zu vermeiden.. Nicht, dass die Gefahr groß ist, weil man ja eingeloggt sein muss, aber dennoch besser, wenn man das vermeiden kann.. ich wusste gar nicht, dass auch HTML Tags übergeben werden. Ist das an vielen Stellen ?"

Es gibt aber auch message wenn man nicht eingeloggt ist. warum tritt dort die XSS geschichte nicht auf?

Please sign in to comment.
Something went wrong with that request. Please try again.