gaenseklein
commented
5 years ago kommentare sind davon nicht betroffen, solange dort kein html erlaubt ist. durch den einsatz von innerText anstelle von innerHTML ist es relativ leicht sauber zu halten.
Closed gaenseklein closed 5 years ago
gaenseklein
commented
5 years ago kommentare sind davon nicht betroffen, solange dort kein html erlaubt ist. durch den einsatz von innerText anstelle von innerHTML ist es relativ leicht sauber zu halten.
gaenseklein
commented
5 years ago 1.) ist jetzt umgesetzt.
präsentationsnode ist momentan so, dass erst die präsentation erstellt wird und diese dann verschlüsselt abgespeichert wird im cms. dadurch ist es nicht möglich, xss-attacken zu filtern. möglichkeiten um das zu lösen wären: 1.) eine published-präsentation enthält nur den md-code (+auswahl von plugins?) und interpretiert den neu als präsentation. 2.) so wie jetzt, aber es wird nach entschlüsseln der präsentation ein javascript-xss-filter angewendet, der auf unsere präsentationen zugeschnitten ist.
das betrifft perspektivisch auch die kommentare. wobei selbige leichter zu filtern sind.
die gefahr der xss-attacken sind durch den passwort-schutz relativ gering: es wendet sich immer an gezielte personen. keine generelle xss-attacke, die mal fischt, ob sie wen erwischt.