Usunięcie podatności na XSS w aplikacji biblioteki.

[twezowic]

Aplikacja przy wyświeltaniu danych z tabeli jest podatna na XSS.

Kroki do odtworzenia:

1. Kliknąć Custormes, aby przejść na stronę z dodawaniem klientów
2. Kliknąć Add New Customer
3. Wkleić w pole Name:

<script>
  window.location.replace("https://en.wikipedia.org/wiki/Cross-site_scripting");
</script>

4. Uzpełnić pozostałe dane dowolnie
5. Kliknąć Add Customer, aby utworzyć klienta

Od teraz po każdym wczytaniu strony z klientami strona zostanie przekierowana na https://en.wikipedia.org/wiki/Cross-site_scripting.

Ten problem występuje na każdej stronie z dodawaniem. W pole pomiędzy <script>...</script> można wpisać dowolny kod javascript'a, który może być potencjalnie niebezpieczny. Kod ten następnie zostaje uruchomiony podczas wczytywania strony i próbie wyświetlenia danych w tabeli.

Dodane zostało czyszczenie danych przed stworzeniem nowych modeli z wykorzystaniem funkcji escape z biblioteki markupsafe. Dodane zostały również testy sprawdzające powyższą funkcję. Po wprowadzeniu poprawki dane są escapowane i jedynie wyświetlane na stronie bez ich uruchomienia.