XSS vulnerability

[euphoria108]

投稿コンテンツ内で<embed>や<object>タグが使えるためJavascriptが実行できる．

[euphoria108]

解決策は2つ

• Mavon Editorのxss-optionsを使用する
  • https://rinoguchi.hatenablog.com/entry/2020/06/14/234541
  • とても使いにくい．入力値そのものが置換されてしまう．1文字入力するたびにキャレットが末尾に飛ぶ．
• EasyMDEをMathJaxと一緒に使う
  • https://github.com/sparksuite/simplemde-markdown-editor/issues/633
  • https://gist.github.com/chooco13/c280c1cc6584c97af85307028ecaebb1
  • https://zhiqiang.org/it/easymde-katex.html?utm_source=tuicool&utm_medium=referral
  • Nuxtコンポーネント化する方法が不明

[NaokiHamada]

この問題はmavonEditor v2.8.2で解決され、v2.10.0ではデフォルトでXSS対策オプションが有効になった。 see https://github.com/hinesboy/mavonEditor/issues/472

こちらの手元でもmavonEditor v2.10.0を使用したOptHubに対して、ChromeとFIrefoxにて問題編集画面で上記issueで例示されたXSSコードを入力してみたが実行されないことを確認した。文字入力のたびにキャレットが末尾に飛ぶ問題も解消しているため、closeします。