Seguridad en código postal

Hyan · 6 Mayo, 2024 06:55

Hola Discourse,
Editar: Solía publicar mi pregunta en Posting code or preformatted text.

En mi instancia de Discourse autoalojada, tenemos un WAF delante de la instalación. Tiene reglas más estrictas por defecto que a veces impiden que los usuarios publiquen código formateado. Por ejemplo, las ediciones que contienen /etc/init.d se consideran un problema de seguridad. Mi pregunta es cómo la función de texto preformateado en sí misma garantiza algún tipo de XSS o ataque de código. ¿O el núcleo de Discourse protege el código enviado evitando problemas de seguridad? ¿Estoy seguro de permitir todas las publicaciones que contengan fragmentos de código, para poder ajustar las reglas del WAF?

/etc/init.d/aaa.local Compatibilidad

¡Gracias!

sam · 9 Mayo, 2024 04:10

Discourse protege contra XSS en publicaciones utilizando múltiples capas de protección.

Incluyendo:

CSP
Biblioteca especial que solo permite el paso de etiquetas específicas
Cocción de markdown (conversión de MD → HTML) en un sandbox.

Nos tomamos los problemas de seguridad increíblemente en serio, puede leer más al respecto en: HackerOne

Su WAF no debería necesitar realizar ningún bloqueo como este.

Tema		Respuestas	Vistas
Akamai WAF configuration and false positive Support	2	99	31 Marzo 2025
XML not visible in post Support	6	809	20 Junio 2018
Wordpress posts published to Discourse include HTML? WordPress	6	929	25 Noviembre 2022
Catch and educate users posting code without properly formatting it Feature	29	5186	21 Febrero 2025
Posting code from Wordpress to Discourse not displaying properly WordPress	1	907	31 Enero 2019

Seguridad en código postal

Temas relacionados