Vulnerabilidad XSS en el atributo iframe src
Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Edge v122 Enlace de demo reproducible https://jsfiddle.net/bwreyq29/1/ Describe el bicho ¿Cómo reproducir el bicho? Abre este enlace https://jsfiddle.net/bwreyq29/1/ y el código JavaScript adjunto al atributo 'SRC' se eje...
bernesto
Creo que la opción de pre-analizador es una muy buena idea. Se mantiene en el concepto de 'plug-in' por función. ¿Qué tal actualizar 'fromElement' para aceptar un ID de elemento de cadena o un booleano? Si bool == cierto, funciona como aho...
artf
Totalmente de acuerdo con @bernesto de hecho, por mucho que intentemos que sea seguro, nunca será suficiente y no quiero dar la impresión de que la biblioteca es "tan segura" como para justificar la falta de validación del servidor. Las op...
bernesto
Esto es inevitable al usar 'fromElement' para cargar desde un elemento DOM activo. El elemento de la página se carga y ejecuta de forma sincrónica. GrapesJS nunca tendría la oportunidad de procesar y desactivar el HTML de XSS. Esto tendría...