5.1.0에서 5.2.1까지 통기 소독

묘사

5.1.0에서 5.2.1까지의 충돌sanitize.
릴리즈 노트
출처sanitize's releases.

v5。2.1

취약점 수리

• Fixed an HTML sanitization bypass that could allow XSS. This issue affects Sanitize versions 3.0.0 through 5.2.0.

  When HTML was sanitized using the "relaxed" config or a custom config that allows certain elements, some content in a <math> or <svg> element may not have beeen sanitized correctly even if math and svg were not in the allowlist. This could allow carefully crafted input to sneak arbitrary HTML through Sanitize, potentially enabling an XSS (cross-site scripting) attack.

  You are likely to be vulnerable to this issue if you use Sanitize's relaxed config or a custom config that allows one or more of the following HTML elements:

  • iframe
  • math
  • noembed
  • noframes
  • noscript
  • plaintext
  • script
  • style
  • svg
  • xmp

  See the security advisory for more details, including a workaround if you're not able to upgrade: GHSA-p4x4-rw2p-8j8m

  Many thanks to Michał Bentkowski of Securitum for reporting this issue and helping to verify the fix.

v5。2

변덕스럽다

• The term "whitelist" has been replaced with "allowlist" throughout Sanitize's source and documentation.

  While the etymology of "whitelist" may not be explicitly racist in origin or intent, there are inherent racial connotations in the implication that white is good and black (as in "blacklist") is not.

  This is a change I should have made long ago, and I apologize for not making it sooner.

• In transformer input, the :is_whitelisted and :node_whitelist keys are now deprecated. New :is_allowlisted and :node_allowlist keys have been added. The old keys will continue to work in order to avoid breaking existing code, but they are no longer documented and may be removed in a future semver major release.

변경 로그
출처sanitize's changelog.

5.2.1 (2020-06-16)

취약점 수리

• Fixed an HTML sanitization bypass that could allow XSS. This issue affects Sanitize versions 3.0.0 through 5.2.0.

  When HTML was sanitized using the "relaxed" config or a custom config that allows certain elements, some content in a <math> or <svg> element may not have beeen sanitized correctly even if math and svg were not in the allowlist. This could allow carefully crafted input to sneak arbitrary HTML through Sanitize, potentially enabling an XSS (cross-site scripting) attack.

  You are likely to be vulnerable to this issue if you use Sanitize's relaxed config or a custom config that allows one or more of the following HTML elements:

  • iframe
  • math
  • noembed
  • noframes
  • noscript
  • plaintext
  • script
  • style
  • svg
  • xmp

  See the security advisory for more details, including a workaround if you're not able to upgrade: GHSA-p4x4-rw2p-8j8m

  Many thanks to Michał Bentkowski of Securitum for reporting this issue and helping to verify the fix.

5.2.0 (2020-06-06)

변덕스럽다

• The term "whitelist" has been replaced with "allowlist" throughout Sanitize's source and documentation.

  While the etymology of "whitelist" may not be explicitly racist in origin or intent, there are inherent racial connotations in the implication that white is good and black (as in "blacklist") is not.

  This is a change I should have made long ago, and I apologize for not making it sooner.

... (truncated)

언약

773d1af 버전 5.2.1

a11498d HTML 외래 내용 중의 소독 옆길 복원

1d0d688 지원되는 버전 정책을 업데이트하여 실제와 더욱 부합하도록 합니다

4166da2 5.2.0

3c78c7e 에 Ruby 2.7을 추가합니다.x - 테스트 매트릭스

78fbcc3 용어'화이트리스트'사용 정지

c90bcb1 flavorjones/flavorjones skip nokogiri 패치 테스트

의 합병 인출 요청#199

21da9b6 시스템libxml2

를 사용할 때 nokogiri의 패치 테스트를 피합니다

참조compare view

의 전체 차이

이 PR과의 충돌은 사용자가 직접 변경하지 않는 한 해결될 수 있습니다.주석@dependabot rebase을 사용하여 수동으로 재기준을 트리거할 수도 있습니다.
신뢰성 명령 및 옵션
이 PR에 의견을 달면 Cortebot 작업을 트리거할 수 있습니다.
- "@relateot rebase"는 이 PR의 기초를 재설정합니다.
- "@relateot recreate"는 이 PR을 다시 만들고 편집한 내용을 덮어씁니다.
- "@cordenot merge"는 CI 전송 후 이 PR을 병합합니다.
- "@relateot squash and merge"는 CI 전송 후 이 PR을 누르고 병합합니다.
- "@Correlot cancel merge"는 이전에 요청한 병합을 취소하고 자동 병합을 차단합니다.
- 이 PR이 종료되면 @Correlot Recover에서 다시 열립니다.
- @CorrelotClose가 PR을 닫고 Correlott를 중지하고 다시 생성합니다.수동으로 닫아서 같은 결과를 얻을 수 있습니다
- "@corderot ignore this main version"은 이 PR을 닫고 Corderot가 이 주요 버전의 콘텐츠를 다시 만드는 것을 중지합니다. (PR을 다시 열거나 업그레이드하지 않는 한)
- "@corderot ignore this minor version"은 이 PR을 닫고 corderot가 이 minor version에 대해 더 많은 PR을 만드는 것을 중지합니다. (PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@corderot ignore this dependency"는 이 PR을 닫고 이 의존항에 대한 corderot의 내용을 다시 만들지 않습니다(PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@cordeot use this label"현재 태그를 재구매 프로토콜 및 언어의 미래 PRs 기본 태그로 설정
- "@cordenot use this reviewers"현재 검토자를 해당 재구매 계약 및 언어의 미래 PRs에 대한 기본 검토자로 설정
- "@corderiot use this assignees"는 현재 소유자를 재구매 프로토콜과 언어의 미래 PRs에 대한 기본값으로 설정합니다.
- "@cordeot use this milestone"은 현재 이정표를 재구매 계약 및 언어의 미래 PRs에 대한 기본 이정표로 설정
[보안 경고 페이지]에서 재구매 계약의 자동 보안 수정 PRs를 비활성화할 수 있습니다(https://github.com/sudara/alonetone/network/alerts).

토론 #1

네, 이 버전은 다시 알려드리지 않겠습니다. 하지만 새로운 버전이 나올 때 연락 드리겠습니다.다음 주요 버전이나 부차적인 버전 이전에 모든 업데이트를 건너뛰고 싶으면, 댓글@dependabot ignore this major version 또는 @dependabot ignore this minor version을 통해 알려 주십시오.
만약 네가 생각을 바꾸면, 이 공관을 다시 열기만 하면, 나는 어떠한 충돌도 해결할 것이다.