Segurança no CEP

Hyan · Maio 6, 2024, 6:55am

Olá Discourse,
Editar: Eu costumava postar minha pergunta em Posting code or preformatted text.

Em minha instalação auto-hospedada do Discourse, temos um WAF (Web Application Firewall) posicionado na frente da instalação. Ele tem regras mais rígidas por padrão, que às vezes impedem os usuários de postar código formatado. Por exemplo, edições que contêm /etc/init.d são consideradas um problema de segurança. Minha pergunta é como o próprio recurso de texto pré-formatado garante qualquer tipo de XSS de código ou ataque. Ou o núcleo do Discourse protege o código enviado, evitando problemas de segurança? Posso permitir todas as postagens contendo trechos de código com segurança, para que eu possa ajustar as regras do WAF?

/etc/init.d/aaa.local Compatibilidade

Obrigado!

sam · Maio 9, 2024, 4:10am

O Discourse protege contra XSS em posts usando múltiplas camadas de proteção.

Incluindo:

CSP
Biblioteca especial que permite a passagem apenas de tags específicas
Processamento de markdown (conversão de MD → HTML) em um sandbox.

Levamos questões de segurança incrivelmente a sério, você pode ler mais sobre isso em: HackerOne

Seu WAF não deve precisar fazer nenhum bloqueio como este.

Tópico		Respostas	Visualizações
Akamai WAF configuration and false positive Support	2	100	31 de Março de 2025
XML not visible in post Support	6	810	20 de Junho de 2018
Wordpress posts published to Discourse include HTML? WordPress	6	930	25 de Novembro de 2022
Catch and educate users posting code without properly formatting it Feature	29	5187	21 de Fevereiro de 2025
Posting code from Wordpress to Discourse not displaying properly WordPress	1	907	31 de Janeiro de 2019

Segurança no CEP

Tópicos relacionados