Tomasz Chiliński

> @chilek Z pól: notes, info wyleci kod HTML? Bo nie wiem czy dobrze zrozumiałem. Nie tyle wyleci co zostanie pozbawiony potencjalnie niebezpiecznych elementów. Dochodzę do wniosku, że jednak to...

> My używamy tam akurat podstawowych tagów typu <b> czy <s>. Ciekawe czy HTMLPurifier (przez Utils::removeInsecureHtml()) by tego nie uszkodził...

> z tego co widze to htmlpurifier ma whiteliste połączen tag-atrybut > > http://htmlpurifier.org/live/configdoc/plain.html#CSS.AllowedProperties > > > ``` > $configuration->set('HTML.Allowed', 'p,ul[style],ol,li'); > $configuration->set('CSS.AllowedProperties', 'margin-left'); > ``` > > mozna dozwolic...

Kolejna podatność na XSS (tym razem w nodeadd): https://demo.lms.org.pl/?m=nodeadd&preip=123%22%3E%3Cscript%3Ealert(1)%3C/script%3E%3C

Powyższa podatność wyeliminowana przed chwilą w **master**, **stable**, **stable-25** i **stable-24**.

> [https://demo.lms.org.pl/?m=whdocuments&doctypefix=100">](https://demo.lms.org.pl/?m=whdocuments&doctypefix=100%22%3E)alert(1)< U mnie alert JS nie generuje się, ale za to generuje się błąd SQL przy okazji. @rafalpietraszewicz ?

> macos bigsur 11.1 (20C69) > chrome Wersja 87.0.4280.141 (x86_64) Mam dokładnie ten sam Chrome, ale oczywiście w Fedora 33!

> Ciekawe czy domyślnie nie dopuszcza elementu `` z prostymi atrybutami, które nie są szkodliwe - trzeba by chyba najpierw przetestować. Sprawdziłem na demo - przy domyślnej konfiguracji HTMLPurifier nie...

pecl nie ma opcji, która spowoduje natychmiastową instalację bez konieczności potwierdzania?

W tym przypadku nie jestem zdecydowany czy imagick powinno być wymagane.