Hello,
For those people operating phpBB with HTML enabled we have been notified by Marvin Massih of a possible cross site scripting issue. It will affect primarily those who have enabled the <a> (anchor tag) but it may impact certain other tags too depending on what functionality they offer. The problem occurs because users may enter "javascript:" within a given url ... which can of course be used to grab local cookie (for example) information from the client. At this time we advise everyone with HTML enabled to remove the a tag from the list of allowed tags (Admin Panel -> General -> Configuration -> Allowed tags). There really is no reason to allow the anchor tag anyway, BBCode provides appropriate functionality for linking. We will continue looking at potential solutions to this but it isn't necessarily a straightforward issue to solve without impacting the very functionality the <a> tag can give you (same applies to any other tag that may be affected). Of course our advice remains, as it always has, to only enable HTML if you positively, absolutely have no alternative. There are various BBCode Mods available here and elsewhere which offer the functionality of a number of common HTML tags ... while reducing considerably the risk of layout and privacy issues.
Please help
I didn't find the right solution from the internet.
References:
Thank you
Possible cross site scripting issue with HTML enabled
-
- Сообщения: 4
- Зарегистрирован: 19 июн 2018, 12:29
- Репутация: 0
- Пол: Мужской
-
- Похожие темы
- Ответы
- Просмотры
- Последнее сообщение
-
- 0 Ответы
- 1151 Просмотры
-
Последнее сообщение jackneeson
25 июн 2018, 17:46
-
- 0 Ответы
- 999 Просмотры
-
Последнее сообщение Yellowstone
04 авг 2014, 02:08
-
- 0 Ответы
- 2922 Просмотры
-
Последнее сообщение Admin
18 окт 2015, 23:21
-
- 0 Ответы
- 1589 Просмотры
-
Последнее сообщение utatka
27 дек 2017, 15:35
-
- 0 Ответы
- 3547 Просмотры
-
Последнее сообщение Merlin
12 мар 2015, 22:49
-
- 0 Ответы
- 3566 Просмотры
-
Последнее сообщение kolobov
17 июн 2013, 23:14
-
- 1 Ответы
- 2840 Просмотры
-
Последнее сообщение Admin
09 июн 2018, 00:01
-
- 0 Ответы
- 1494 Просмотры
-
Последнее сообщение jackneeson
25 июн 2018, 17:48
-
-
Праздничный HTML шаблон для email
Merlin » 12 мар 2015, 22:43 » в форуме HTML, CSS шаблоны для сайтов - 0 Ответы
- 2562 Просмотры
-
Последнее сообщение Merlin
12 мар 2015, 22:43
-
-
-
Strata - адаптивный html шаблон
Merlin » 11 мар 2015, 20:58 » в форуме Шаблоны для сайтов на HTML5, CSS3 - 0 Ответы
- 2971 Просмотры
-
Последнее сообщение Merlin
11 мар 2015, 20:58
-