Sécurité sur le code postal

Hyan · Mai 6, 2024, 6:55

Salut Discourse,
Edit : J’avais l’habitude de poster ma question sous Posting code or preformatted text.

Dans mon installation auto-hébergée de Discourse, nous avons un WAF placé devant l’installation. Il a des règles plus strictes par défaut qui empêchent parfois les utilisateurs de poster du code formaté. Par exemple, les modifications contenant /etc/init.d sont considérées comme un problème de sécurité. Ma question est de savoir comment la fonctionnalité de texte préformaté elle-même garantit une protection contre les XSS ou les attaques de code. Ou comment le cœur de Discourse protège le code soumis en évitant les problèmes de sécurité ? Suis-je en sécurité si j’autorise tous les messages contenant des extraits de code, afin de pouvoir ajuster les règles du WAF ?

/etc/init.d/aaa.local Compatibility

Merci !

sam · Mai 9, 2024, 4:10

Discourse protège contre les attaques XSS dans les publications grâce à plusieurs couches de protection.

Notamment :

CSP
Bibliothèque spéciale qui n’autorise que certains balises
Conversion du markdown (conversion de MD vers HTML) dans un bac à sable.

Nous prenons les problèmes de sécurité très au sérieux, vous pouvez en savoir plus à ce sujet sur : HackerOne

Votre WAF ne devrait pas avoir besoin de bloquer ce type d’éléments.

Sujet		Réponses	Vues
Akamai WAF configuration and false positive Support	2	100	Mars 31, 2025
XML not visible in post Support	6	810	Juin 20, 2018
Wordpress posts published to Discourse include HTML? WordPress	6	930	Novembre 25, 2022
Catch and educate users posting code without properly formatting it Feature	29	5187	Février 21, 2025
Posting code from Wordpress to Discourse not displaying properly WordPress	1	907	Janvier 31, 2019

Sécurité sur le code postal

Sujets connexes