0089bc590900f62a0ef2a63730754e3f35b06307
escapeHtml nutzte den textContent->innerHTML-Trick, der laut HTML-Spec nur & < > escaped, aber keine Anführungszeichen (in Textknoten harmlos). linkify steckt den Wert anschließend in ein href="..."-Attribut, wo ein rohes " das Attribut vorzeitig schließt und beliebige Attribute (on...=, style=) am <a> einschleusbar macht -- HTML-Injection. Die CSP (default-src 'self', kein 'unsafe-inline') verhinderte nur die Ausführung, nicht die Injektion. Ersetzt durch einen spec-korrekten Entity-Escaper, der auch " und ' abdeckt, sodass der Wert in Text- UND Attributkontext sicher ist. Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Description
Simple Forumengine
Languages
Go
53.2%
HTML
17.8%
JavaScript
16.9%
CSS
6.8%
Shell
4.6%
Other
0.7%