Bug #17173
assurer que user_nameid et user_email ne puissent être forgés dans les urls
0%
Description
Pour le moment user_nameid et user_email sont posés uniquement quand l'usager est connecté; avec le post sur la cellule json qui tape toutes les données transmises par l'usager dans le contexte, on peut imaginer un usager non connecté qui ajoute un user_nameid traffiqué dans le formulaire transmis et ça passera.
Pour éviter ça, il suffit de toujours définir user_nameid/user_email.
Fichiers
Demandes liées
Révisions associées
misc: always use a fresh copy of parameters (#17173)
(this is required for tests)
Historique
Mis à jour par Frédéric Péters il y a presque 7 ans
- Fichier 0001-utils-make-sure-user_nameid-user_email-cannot-be-for.patch 0001-utils-make-sure-user_nameid-user_email-cannot-be-for.patch ajouté
- Statut changé de Nouveau à En cours
- Patch proposed changé de Non à Oui
Mis à jour par Frédéric Péters il y a presque 7 ans
- Lié à Bug #17172: post : pouvoir utiliser les données transmises dans l'url appelée ajouté
Mis à jour par Frédéric Péters il y a presque 7 ans
- Lié à Development #17171: json data store : autoriser name_id dans les actions de modification ajouté
Mis à jour par Frédéric Péters il y a presque 7 ans
- Fichier 0001-utils-make-sure-user_nameid-user_email-cannot-be-for.patch 0001-utils-make-sure-user_nameid-user_email-cannot-be-for.patch ajouté
Avec la mise à jour d'un test pour prendre en compte que user_nameid/user_email sont désormais systématiquement disponibles.
Mis à jour par Thomas Noël il y a presque 7 ans
Ok même si je trouverai plus joli que la ligne user = getattr(context.get('request'), 'user', None)
soit placée en dessous du template_vars['user_nameid'] = ''
Mis à jour par Frédéric Péters il y a presque 7 ans
- Statut changé de En cours à Résolu (à déployer)
Avec l'inversion de ligne suggérée.
commit a353802d12e96541c9edbe12ca2181ed49f75b0b Author: Frédéric Péters <fpeters@entrouvert.com> Date: Sat Jun 24 11:18:00 2017 +0200 utils: make sure user_nameid/user_email cannot be forged (#17173)
Mis à jour par Frédéric Péters il y a plus de 5 ans
- Statut changé de Résolu (à déployer) à Solution déployée
utils: make sure user_nameid/user_email cannot be forged (#17173)