Il y a une grosse différence entre un site web ou les utilisateurs peuvent publier des choses et donc tenter différent types d'attaques et une application web, destinée uniquement à un utilisateur et le laissant responsable de ces choix.
C'est pourquoi la politique de sécurité du site lors de l'ajout d'un flux est de faire confiance au fournisseur de ce flux et de l'afficher tel-quel. Après tout, il n'y a pas de différence entre allez sur un site directement ou récupérer son flux pour l'afficher dans zenCancan.
J'aimerais avoir (via le formulaire de contact par exemple ou ici) les constructions d'URL et les variables HTML non-échappées que tu penses non-sûr (au moins des exemples).
Quand au attaque CSRF, a priori, y a pas beaucoup d'applications qui en sont vraiment protégées ... Et zenCancan l'est sur un premier niveau étant données que toutes les modifications ne peuvent être faite qu'en POST.
[^] # Re: De la sécurité
Posté par Eric . En réponse à la dépêche zenCancan, un lecteur web de flux RSS. Évalué à 1.
Il y a une grosse différence entre un site web ou les utilisateurs peuvent publier des choses et donc tenter différent types d'attaques et une application web, destinée uniquement à un utilisateur et le laissant responsable de ces choix.
C'est pourquoi la politique de sécurité du site lors de l'ajout d'un flux est de faire confiance au fournisseur de ce flux et de l'afficher tel-quel. Après tout, il n'y a pas de différence entre allez sur un site directement ou récupérer son flux pour l'afficher dans zenCancan.
J'aimerais avoir (via le formulaire de contact par exemple ou ici) les constructions d'URL et les variables HTML non-échappées que tu penses non-sûr (au moins des exemples).
Quand au attaque CSRF, a priori, y a pas beaucoup d'applications qui en sont vraiment protégées ... Et zenCancan l'est sur un premier niveau étant données que toutes les modifications ne peuvent être faite qu'en POST.