Permalink
Browse files

escapen der message

  • Loading branch information...
dergel committed Mar 5, 2012
1 parent b743eb3 commit a6c80a44b348e8eec00f9470b848ad2790b07bd3
Showing with 1 addition and 1 deletion.
  1. +1 −1 redaxo/include/functions/function_rex_other.inc.php
@@ -165,7 +165,7 @@ function rex_message($message, $cssClass, $sorround_tag)
if ($sorround_tag != 'p')
$return .= '<p>';
- $return .= '<span>'. $message .'</span>';
+ $return .= '<span>'. htmlspecialchars($message) .'</span>';
if ($sorround_tag != 'p')
$return .= '</p>';

5 comments on commit a6c80a4

@gharlan

This comment has been minimized.

Show comment
Hide comment
@gharlan

gharlan Mar 19, 2012

Member

@dergel Wozu ist das nötig? Einige Messages enthalten HTML-Elemente wie <b> und <br>, die sind nun so in der Message sichtbar..

Member

gharlan replied Mar 19, 2012

@dergel Wozu ist das nötig? Einige Messages enthalten HTML-Elemente wie <b> und <br>, die sind nun so in der Message sichtbar..

@dergel

This comment has been minimized.

Show comment
Hide comment
@dergel

dergel Mar 19, 2012

Member

um XSS zu vermeiden.. Nicht, dass die Gefahr groß ist, weil man ja eingeloggt sein muss, aber dennoch besser, wenn man das vermeiden kann.. ich wusste gar nicht, dass auch HTML Tags übergeben werden. Ist das an vielen Stellen ?

Member

dergel replied Mar 19, 2012

um XSS zu vermeiden.. Nicht, dass die Gefahr groß ist, weil man ja eingeloggt sein muss, aber dennoch besser, wenn man das vermeiden kann.. ich wusste gar nicht, dass auch HTML Tags übergeben werden. Ist das an vielen Stellen ?

@gharlan

This comment has been minimized.

Show comment
Hide comment
@gharlan

gharlan Mar 19, 2012

Member

Hmm, das spielt aber ja nur an den Stellen eine Rolle, an denen Messages über Parameter übergeben werden. Ich würde eher dort explizit drauf achten, und nicht allgemein immer. Ich glaube es sind schon einige Messages, die HTML enthalten, und wir wissen ja auch nicht, was so in den anderen Addons vorkommt.

Member

gharlan replied Mar 19, 2012

Hmm, das spielt aber ja nur an den Stellen eine Rolle, an denen Messages über Parameter übergeben werden. Ich würde eher dort explizit drauf achten, und nicht allgemein immer. Ich glaube es sind schon einige Messages, die HTML enthalten, und wir wissen ja auch nicht, was so in den anderen Addons vorkommt.

@dergel

This comment has been minimized.

Show comment
Hide comment
@dergel

dergel Mar 19, 2012

Member

stimmt.. dann passen wir das lieber an den entsprechenden Stellen an.

Member

dergel replied Mar 19, 2012

stimmt.. dann passen wir das lieber an den entsprechenden Stellen an.

@staabm

This comment has been minimized.

Show comment
Hide comment
@staabm

staabm Mar 19, 2012

Member

"um XSS zu vermeiden.. Nicht, dass die Gefahr groß ist, weil man ja eingeloggt sein muss, aber dennoch besser, wenn man das vermeiden kann.. ich wusste gar nicht, dass auch HTML Tags übergeben werden. Ist das an vielen Stellen ?"

Es gibt aber auch message wenn man nicht eingeloggt ist. warum tritt dort die XSS geschichte nicht auf?

Member

staabm replied Mar 19, 2012

"um XSS zu vermeiden.. Nicht, dass die Gefahr groß ist, weil man ja eingeloggt sein muss, aber dennoch besser, wenn man das vermeiden kann.. ich wusste gar nicht, dass auch HTML Tags übergeben werden. Ist das an vielen Stellen ?"

Es gibt aber auch message wenn man nicht eingeloggt ist. warum tritt dort die XSS geschichte nicht auf?

Please sign in to comment.