ted
(Ted Johansson)
3
@Lilly さんの指摘は正しいです。ここにはバックエンド側での信頼性の欠如が十分ではありません。
この問題が提起されたため、プロフィールページにも同様の影響があるか確認したところ、ありませんでした。ユーザーがプロフィールを更新する際に値を適切にサニタイズしているため、そのサニタイズロジックをサインアップエンドポイントにもそのまま適用するのは比較的簡単でした。PR はこちらです:
技術的にはそうではないと思います。確かにユーザーは任意の値を入力できますが、どこかでレンダリングされる前にサニタイズが適用されるため(XSS の脆弱性はありません)。また、長さ制限もすでにサインアップエンドポイントで正しく適用されていました(DoS の脆弱性はありません)。
「いいね!」 2