irrlicht 0089bc5909 feed.js: HTML-Injection in linkify schließen (escapeHtml deckt nun Quotes ab)
escapeHtml nutzte den textContent->innerHTML-Trick, der laut HTML-Spec nur
& < > escaped, aber keine Anführungszeichen (in Textknoten harmlos). linkify
steckt den Wert anschließend in ein href="..."-Attribut, wo ein rohes " das
Attribut vorzeitig schließt und beliebige Attribute (on...=, style=) am <a>
einschleusbar macht -- HTML-Injection. Die CSP (default-src 'self', kein
'unsafe-inline') verhinderte nur die Ausführung, nicht die Injektion.

Ersetzt durch einen spec-korrekten Entity-Escaper, der auch " und ' abdeckt,
sodass der Wert in Text- UND Attributkontext sicher ist.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-06-16 07:52:18 +02:00
2026-06-10 06:12:21 +02:00
2026-06-07 17:07:17 +02:00
2026-06-11 07:00:09 +02:00
2026-06-07 17:07:17 +02:00
2026-06-07 17:07:17 +02:00
2026-06-11 07:00:09 +02:00
2026-06-11 07:00:09 +02:00
S
Description
Simple Forumengine
3.5 MiB
Languages
Go 53.2%
HTML 17.8%
JavaScript 16.9%
CSS 6.8%
Shell 4.6%
Other 0.7%