Fixing html_safe for noosfero
Alexandre Almeida Barbosa
alexandrealmeidabarbosa at gmail.com
Mon Apr 18 08:38:00 BRT 2016
Olá a todos,
Nos últimos dias, estamos finalizando o tratamento de strings seguras (com
html_safe) do Noosfero, trabalho iniciado pelo Serpro.
Basicamente, o Noosfero trata todas as strings como seguras, o que abre
brechas para injeção de código malicioso via input de usuário.
Foram corrigidos todos os testes que quebravam após a remoção dessa brecha
mas, como a suíte de testes do Noosfero não cobre todas as
ocorrências de strings, algumas páginas do Noosfero estarão com o layout
quebrado (caracteres especiais ou tags html exibidas).
Precisamos do apoio da comunidade para a correção de eventuais erros não
cobertos pelos testes.
Branch:
- Participa: https://gitlab.com/participa/noosfero/commits/new_security
- Noosferogov:
https://softwarepublico.gov.br/gitlab/noosferogov/noosfero/commits/new_security
Att,
Alexandre Barbosa
--
Att,
Alexandre Almeida Barbosa
Engenheiro de Software
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20160418/05d57c77/attachment.html>
More information about the Noosfero-br
mailing list