Bug #89447: affichage de l'URL d'un événement : contrer les possibilités de XSS - Chrono - Redmine Entr’ouvert

Bug #89447

affichage de l'URL d'un événement : contrer les possibilités de XSS

Ajouté par Thomas Noël il y a 18 jours. Mis à jour il y a 12 jours.

Statut:

Solution déployée

Priorité:

Normal

Assigné à:

Thomas Noël

Catégorie:

Version cible:

Début:

11 avril 2024

Echéance:

% réalisé:

Temps estimé:

Patch proposed:

Non

Planning:

Non

Description

On peut, sur un événement, indiquer dans le champ URL quelque chose comme javascript:alert('plop').

Ça va "fonctionner", l'URL va s'afficher telle quelle sur la page de présentation de l'événement (manage/agendas/xx/events/yy/).

Il faudrait empêcher cela, par exemple en vérifiant que l'URL commence par https:// ?

Historique

Mis à jour par Thomas Noël il y a 18 jours

Tracker changé de Support à Bug

Mis à jour par Robot Gitea il y a 18 jours

Statut changé de Nouveau à Solution proposée
Assigné à mis à Thomas Noël

Thomas NOËL (tnoel) a ouvert une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/chrono/pulls/245
Titre : agendas: use URLField for event url (#89447)
Modifications : https://git.entrouvert.org/entrouvert/chrono/pulls/245/files

Mis à jour par Robot Gitea il y a 18 jours

Statut changé de Solution proposée à En cours

Thomas NOËL (tnoel) a commencé à travailler sur une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/chrono/pulls/245
Titre : WIP: agendas: use URLField for event url (#89447)
Modifications : https://git.entrouvert.org/entrouvert/chrono/pulls/245/files

Mis à jour par Thomas Noël il y a 18 jours

Statut changé de En cours à Solution proposée

Mis à jour par Robot Gitea il y a 14 jours

Statut changé de Solution proposée à Solution validée

Valentin Deniaud (vdeniaud) a approuvé une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/chrono/pulls/245

Mis à jour par Robot Gitea il y a 13 jours

Statut changé de Solution validée à Solution proposée

Thomas NOËL (tnoel) a demandé une relecture de Valentin Deniaud (vdeniaud) sur une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/chrono/pulls/245

Mis à jour par Robot Gitea il y a 13 jours

Statut changé de Solution proposée à Solution validée

Valentin Deniaud (vdeniaud) a approuvé une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/chrono/pulls/245

Mis à jour par Robot Gitea il y a 13 jours

Statut changé de Solution validée à Résolu (à déployer)

Thomas NOËL (tnoel) a mergé une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/chrono/pulls/245
Titre : agendas: use URLField for event url (#89447)
Modifications : https://git.entrouvert.org/entrouvert/chrono/pulls/245/files

#10

Mis à jour par Transition automatique il y a 12 jours

Statut changé de Résolu (à déployer) à Solution déployée

Formats disponibles : Atom PDF

Projet

Général

Profil

Produits Entr'ouvert » Chrono

Demandes

Rapports personnalisés

Bug #89447

affichage de l'URL d'un événement : contrer les possibilités de XSS

Historique

Mis à jour par Thomas Noël il y a 18 jours

Mis à jour par Robot Gitea il y a 18 jours

Mis à jour par Robot Gitea il y a 18 jours

Mis à jour par Thomas Noël il y a 18 jours

Mis à jour par Robot Gitea il y a 14 jours

Mis à jour par Robot Gitea il y a 13 jours

Mis à jour par Robot Gitea il y a 13 jours

Mis à jour par Robot Gitea il y a 13 jours

Mis à jour par Transition automatique il y a 12 jours