@Lilly a raison. Il n’y a pas assez de méfiance du côté du back-end ici.
Depuis que ce problème est apparu, j’ai décidé de vérifier si cela affectait également la page de profil, ce qui n’est pas le cas. Nous assurons correctement le nettoyage des valeurs lorsque les utilisateurs mettent à jour leur profil. Cela a rendu relativement simple le fait de copier cette logique de nettoyage vers le point de terminaison d’inscription. Une PR est disponible ici :
Je ne pense pas que ce soit techniquement le cas. Oui, les utilisateurs peuvent saisir des valeurs arbitraires, mais un nettoyage est toujours appliqué avant que cela ne soit rendu n’importe où (donc pas de vecteur XSS). De plus, la limite de longueur était déjà correctement appliquée dans le point de terminaison d’inscription (donc pas de vecteur DoS).