@Lilly على حق. لا يوجد قدر كافٍ من عدم الثقة في الخلفية هنا.
نظرًا لأن هذا الأمر قد طُرح، فقد قررت التحقق مما إذا كان يؤثر أيضًا على صفحة الملف الشخصي، وهو لا يفعل. نقوم بتنقية القيم بشكل صحيح عند تحديث المستخدمين لملفاتهم الشخصية. وهذا جعل من السهل نسبيًا نسخ منطق التنقية هذا إلى نقطة نهاية التسجيل أيضًا. يوجد طلب دمج (PR) هنا:
لا أعتقد أنه تقنيًا كذلك. نعم، يمكن للمستخدمين إدخال قيم عشوائية، لكن لا يزال يتم تطبيق التنقية قبل عرضها في أي مكان (لذا لا توجد نقطة ضعف XSS). وقد تم تطبيق حد الطول بشكل صحيح بالفعل في نقطة نهاية التسجيل أيضًا (لذا لا توجد نقطة ضعف DoS).