vorab
Das Frontend schon vor langer Zeit mit dem Meshviewer ersetzt, aber einige Communitys setzten es noch mehr oder weniger aktiv ein.
In das Frontend von ffmap kann HTML beliebig via Router Modell usw. injected werden. (Letzter versuch ist etwas her). Daher ist es an der Zeit auch die letzten Instanzen stillzulegen.
Wer ein Beispiel möchte → Einfach eine PM schicken oder IRC, wo ich eure ffmap erreichen kann.
Wollte das nur mal gerne angesprochen haben, da mir dies vor 1,2 Jahren schon aufgefallen war und im Forum nichts gefunden den habe. In unserem Meshviewer hab ich aktuell kein Weg gefunden. Andere Tools hab ich nicht probiert.
du meinst über das entsprechende backend kann man beliebigen code hochspielen, oder? Seh da das problem nicht wirklich. Aber das auch wirklich oldschool kartenzeug
Nein, das Backend läuft OK samt nodes.json. Aber im Frontend wird kein HTMl-Markup escaped. Also Routername <b>XYZ-123</b> wird zu XYZ-123. Habs beim letzten versuch nicht probiert mal ein <script>alert(1);</script> einzufügen.
In der table jedenfalls. Alles andere hab ich schon länger nicht mehr probiert.
Nicht via URL sondern via Alfred.
Wo sehe ich das Problem?
Normal sollte die Software es im Frontend escapen (mit einer valid JSON umgehen können). Routernamen im Interface zu begrenzen bringt wenig, da ssh jeden Value erlaubt. Beispielsweise hat auch Grafana mit einigen Zeichen wie . oder anderen Steuerungszeichen Probleme. Daher haben wir im meshviewer als auch Grafana ein Regex Whitelist.
Also in der community wo ich es zuerst gesehen habe, gibt es noch keine 3 Jahre.
Einer der branches müsste ja für v2 nodes.json sein? Sind die auch gesichert?
Aber an welcher Stelle siehst Du das Problem, HTML-Injection via Alfred oder via URL?