Projet

Général

Profil

Bug #17173

assurer que user_nameid et user_email ne puissent être forgés dans les urls

Ajouté par Frédéric Péters il y a presque 7 ans. Mis à jour il y a plus de 5 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Version cible:
-
Début:
24 juin 2017
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:

Description

Pour le moment user_nameid et user_email sont posés uniquement quand l'usager est connecté; avec le post sur la cellule json qui tape toutes les données transmises par l'usager dans le contexte, on peut imaginer un usager non connecté qui ajoute un user_nameid traffiqué dans le formulaire transmis et ça passera.

Pour éviter ça, il suffit de toujours définir user_nameid/user_email.

Fichiers

0001-utils-make-sure-user_nameid-user_email-cannot-be-for.patch (918 octets) 0001-utils-make-sure-user_nameid-user_email-cannot-be-for.patch Frédéric Péters, 24 juin 2017 11:22
0001-utils-make-sure-user_nameid-user_email-cannot-be-for.patch (2,24 ko) 0001-utils-make-sure-user_nameid-user_email-cannot-be-for.patch Frédéric Péters, 26 juin 2017 10:18

Demandes liées

Lié à Combo - Bug #17172: post : pouvoir utiliser les données transmises dans l'url appeléeFermé24 juin 2017

Actions
Lié à Passerelle - Development #17171: json data store : autoriser name_id dans les actions de modificationFermé24 juin 2017

Actions

Révisions associées

Révision a353802d (diff)
Ajouté par Frédéric Péters il y a presque 7 ans

utils: make sure user_nameid/user_email cannot be forged (#17173)

Révision b1b80dc9 (diff)
Ajouté par Frédéric Péters il y a presque 7 ans

misc: always use a fresh copy of parameters (#17173)

(this is required for tests)

Historique

#1

Mis à jour par Frédéric Péters il y a presque 7 ans

#2

Mis à jour par Frédéric Péters il y a presque 7 ans

  • Lié à Bug #17172: post : pouvoir utiliser les données transmises dans l'url appelée ajouté
#3

Mis à jour par Frédéric Péters il y a presque 7 ans

  • Lié à Development #17171: json data store : autoriser name_id dans les actions de modification ajouté
#4

Mis à jour par Frédéric Péters il y a presque 7 ans

Avec la mise à jour d'un test pour prendre en compte que user_nameid/user_email sont désormais systématiquement disponibles.

#5

Mis à jour par Thomas Noël il y a presque 7 ans

Ok même si je trouverai plus joli que la ligne user = getattr(context.get('request'), 'user', None) soit placée en dessous du template_vars['user_nameid'] = ''

#6

Mis à jour par Frédéric Péters il y a presque 7 ans

  • Statut changé de En cours à Résolu (à déployer)

Avec l'inversion de ligne suggérée.

commit a353802d12e96541c9edbe12ca2181ed49f75b0b
Author: Frédéric Péters <fpeters@entrouvert.com>
Date:   Sat Jun 24 11:18:00 2017 +0200

    utils: make sure user_nameid/user_email cannot be forged (#17173)
#7

Mis à jour par Frédéric Péters il y a plus de 5 ans

  • Statut changé de Résolu (à déployer) à Solution déployée

Formats disponibles : Atom PDF