Sicurezza del post code

Hyan · 6 Maggio 2024, 6:55am

Ciao Discourse,
Modifica: Ero solito pubblicare la mia domanda su Posting code or preformatted text.

Nella mia installazione self-hosted di Discourse, abbiamo un WAF (Web Application Firewall) davanti all’installazione. Ha regole più restrittive per impostazione predefinita che a volte impediscono agli utenti di pubblicare codice formattato. Ad esempio, le modifiche che contengono /etc/init.d vengono considerate un problema di sicurezza. La mia domanda è come la funzionalità di testo preformattato garantisca di per sé qualsiasi tipo di XSS o attacco tramite codice. O il core di Discourse protegge il codice inviato evitando problemi di sicurezza? Posso consentire tutti i post contenenti snippet di codice in sicurezza, in modo da poter regolare le regole del WAF?

/etc/init.d/aaa.local Compatibility

Grazie!

sam · 9 Maggio 2024, 4:10am

Discourse protegge contro XSS nei post utilizzando più livelli di protezione.

Incluso:

CSP
Libreria speciale che consente solo il passaggio di tag specifici
Conversione del markdown (da MD → HTML) in un sandbox.

Prendiamo molto sul serio i problemi di sicurezza, puoi leggere di più a riguardo su: HackerOne

Il tuo WAF non dovrebbe bloccare nulla di simile.

Argomento		Risposte	Visualizzazioni
Akamai WAF configuration and false positive Support	2	100	Marzo 31, 2025
XML not visible in post Support	6	810	Giugno 20, 2018
Wordpress posts published to Discourse include HTML? WordPress	6	930	Novembre 25, 2022
Catch and educate users posting code without properly formatting it Feature	29	5187	Febbraio 21, 2025
Posting code from Wordpress to Discourse not displaying properly WordPress	1	907	Gennaio 31, 2019

Sicurezza del post code

Argomenti correlati