ポストコードのセキュリティ

サポート
1

Hi Discourse,
編集: 以前、Posting code or preformatted text で質問を投稿しました。

セルフホスト型の Discourse では、インストール環境の前に WAF を配置しています。デフォルトでより厳格なルールが設定されており、ユーザーがフォーマットされたコードを投稿する際に、それが作成されるのを妨げることがあります。例えば、/etc/init.d を含む編集はセキュリティ上の問題と見なされます。私の質問は、プリフォーマットテキスト機能自体が、どのような種類のコード XSS や攻撃から保護しているのかということです。または、Discourse のコアは、セキュリティ上の問題が発生しないように、提出されたコードを保護しているのでしょうか?コードスニペットを含むすべての投稿を許可しても安全でしょうか?そうすれば、WAF のルールを調整できます。

/etc/init.d/aaa.local Compatibility

よろしくお願いします!

「いいね!」 1
2

Discourse は、複数の保護レイヤーを使用して投稿内の XSS を防止します。

これには以下が含まれます。

  • CSP
  • 特定のタグのみを通過させる特別なライブラリ
  • Markdown のクッキング (MD → HTML への変換) をサンドボックス内で行う

当社ではセキュリティ問題を非常に真剣に受け止めており、詳細については以下をご覧ください: HackerOne

WAF は、このようなブロックを行う必要はありません。

「いいね!」 5