HTML escapando/aparecendo no Noosfero/Stoa
Rodrigo Souto
rodrigo at colivre.coop.br
Mon Apr 1 17:17:13 BRT 2013
Olá pessoal,
Hoje investiguei o problema e já identifiquei a sua causa. Como muitos
já falaram, o problema aconteceu por um aumento no rigor de módulos do
rails (principalmente do ActiveSupport) com relação ao escape de strings
para evitar XSS. Com essa atualização de segurança, muitas strings do
Noosfero que geravam html passaram a ser escapadas, o que causou o bug
em questão.
Ainda não consegui distinguir exatamente o padrão das coisas que são
escapadas das que não são (existem casos que aparentemente são iguais,
mas onde a string é escapada em um e não no outro), então minha solução
tem sido baseada na identificação visual dos locais onde o problema está
acontecendo e corrigindo pontualmente. Infelizmente são muitos lugares
espalhados pelo código, então para facilitar e acelerar a correção peço
a todos que, se poderem, reportem os locais onde encontraram esse
problema no tópico do bug
(http://noosfero.org/Development/ActionItem2630) com uma breve indicação
de como reproduzir o problema. Se puderem usar o branch no qual eu estou
corrigindo o problema
(https://gitorious.org/~diguliu/noosfero/digulius-noosfero/commits/html-escape)
é melhor ainda pois lá já tem grande parte dos erros corrigidos.
Obrigado pela ajuda na identificação e resolução desse problema.
--
Rodrigo Souto <rodrigo em colivre.coop.br> :: 55 71 8131-7714
Colivre - Cooperativa de Tecnologias Livres
http://www.colivre.coop.br/
-------------- Pr?xima Parte ----------
Um anexo n?o-texto foi limpo...
Nome: signature.asc
Tipo: application/pgp-signature
Tamanho: 490 bytes
Descri??o: Digital signature
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20130401/9e56683b/attachment.pgp>
More information about the Noosfero-br
mailing list