Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Tech: échappe les tags de données utilisateur dans les modèles pour email #9863

Merged

Conversation

colinux
Copy link
Member

@colinux colinux commented Dec 15, 2023

Dans le même genre que la sanitization de données utilisateur envoyées par emails dans #9858 , cette PR sanitize les tags qui proviennent de données utilisateurs et qui sont injectés dans les emails dynamiques. Le risque est limité car les emails sont à destination des usagers eux-mêmes (sauf qu'avec les invités/transferts de dossier etc… ça pourrait impacter d'autres personnes), et comme on réaffiche aussi les messages dans les interfaces ça protège les instructeurs.

Je ne vois pas de scénario pertinent où on voudrait qu'un utilisateur puisse saisir de l'html et que ce même html soit réutilisé dans les templates d'emails SAUF peut-être dans les annotations privées pour lesquels on pourrait faire une exception?(faudrait voir la data).

APRES

Capture d’écran 2023-12-15 à 12 55 24

Capture d’écran 2023-12-15 à 12 54 55

AVANT

Capture d’écran 2023-12-15 à 12 42 09
Capture d’écran 2023-12-15 à 12 51 27

@colinux colinux force-pushed the fix-message-html-injection branch 2 times, most recently from 82edfe5 to 3fb7ae3 Compare December 15, 2023 12:14
@colinux colinux force-pushed the fix-message-html-injection branch from 3fb7ae3 to fa37c6c Compare December 15, 2023 13:05
Copy link
Contributor

@mfo mfo left a comment

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

lgtm (et testé, j'ai essayé d'inclure une img, marche pas. donc parfait)

@colinux
Copy link
Member Author

colinux commented Dec 20, 2023

Après après avoir regardé les data, pas d'annotation privées avec de l'html (en tout cas avec tags <a> <strong> ou <b>).
Je pense donc merger en l'état

@colinux colinux added this pull request to the merge queue Dec 21, 2023
@github-merge-queue github-merge-queue bot removed this pull request from the merge queue due to failed status checks Dec 21, 2023
@colinux colinux added this pull request to the merge queue Dec 21, 2023
Merged via the queue into demarches-simplifiees:main with commit 9bdf525 Dec 21, 2023
15 checks passed
@colinux colinux deleted the fix-message-html-injection branch December 21, 2023 09:31
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
None yet
Development

Successfully merging this pull request may close these issues.

2 participants