Vlákno názorů k článku PyWebIO: interaktivní webové dialogy a formuláře v čistém Pythonu (dokončení) od CPU - Co bezpečnost tohoto řešení? XSS, injekce kódu atd?

8. 4. 2022 11:58

CPU

Co bezpečnost tohoto řešení? XSS, injekce kódu atd?
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 4. 2022 12:40

atarist

jako že si někdo do Pythonovského kódu hodí `eval` na vstup, který získal z UI?
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 4. 2022 22:40

CTCCTCGGCGGGCACGTAG

To neni xss, xss je neosetreny text na strane klienta. Asi myslel, jestli ty formulare sanituji text, ktery zobrazuji.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 4. 2022 9:24

Pavel Tišnovský

Zlatý podporovatel

Ano XSS to řeší, prostě put_text vypíše text atd. (tedy HTML značku to vypíše jako verbatim značku, aby ji uživatel viděl, v DOMu je to potom plné escapování - logicky).

Jedině u put_html je nutné se (logicky) rozhodnout, zda sanity provádět nebo ne https://pywebio.readthedocs.io/en/latest/output.html#pywebio.output.put_html

A code injection tam IMHO není, ale to by chtělo projít celé zdrojáky.

Zprávičky