Filter auf form:select

Im Entwickler-Forum können Implementierungsdetails sowie Alternativen der Umsetzung diskutiert werden. // Here, developers can discuss implementation details of features of their projects.
Antworten
Nova
Beiträge: 31
Registriert: 22.07.2010, 11:57:29

Filter auf form:select

Beitrag von Nova » 22.05.2012, 23:55:29

Hallo,
ich bin gerade dabei, meine Applikation vor XSS zu schützen, und wollte dabei auf die Filter zurückgreifen. Nachdem ich auf alle Formularfelder einen StripTagsFilter hinzugefügt habe, musste ich feststellen, dass man auf form:select keine Filter nicht anwenden kann. Prinzipiell könnte ein Angreifer aber auch einfach den Quelltext verändert haben, sodass in den options auch Javascript-Code steht. Oder übersehe ich gerade eine Möglichkeit?

Grüße,
nova

Screeze
Beiträge: 1920
Registriert: 05.08.2009, 09:49:04
Kontaktdaten:

Re: Filter auf form:select

Beitrag von Screeze » 24.05.2012, 10:34:57

Sofern ich mich jetzt nicht irre (leider keine Zeit nachzusehen im Quellcode), wertet das APF die gesendeten eingaben eines Selects nur insofern aus, dass es prüft mit welcher option es übereinstimmt, um diese als selected zu markieren. Der ursprünglich gesendete Wert wird (glaube ich?) dann nicht weiter verarbeitet. Zumindest sollte es so sein, dann wäre keine XSS möglich.

Nova
Beiträge: 31
Registriert: 22.07.2010, 11:57:29

Re: Filter auf form:select

Beitrag von Nova » 24.05.2012, 13:02:53

Hallo,
ja, stimmt, das scheint so zu sein. Habe gerade mal manuell den Quelltext geändert und es kommt ein Fehler (Call to a member function getValue() on a non-object).

Jetzt muss ich nur noch den Fehler abfangen.

Danke,
nova

Screeze
Beiträge: 1920
Registriert: 05.08.2009, 09:49:04
Kontaktdaten:

Re: Filter auf form:select

Beitrag von Screeze » 24.05.2012, 13:16:45

Fliegt der Fehler innerhalb von dem Formularelement? Dann sollte das schon im Framework behandelt werden/gar nicht erst auftreten....

Nova
Beiträge: 31
Registriert: 22.07.2010, 11:57:29

Re: Filter auf form:select

Beitrag von Nova » 24.05.2012, 14:14:57

Nein, select_taglib_group::getSelectedOption() liefert einen null-Pointer, den ich bisher nicht abgefangen hatte.


Antworten