Allow "target", "data-target" and "data-toggle" attributes on links and buttons in Markdown pages (!1021) · Merge requests · Studievereniging via / viaduct

Björn Out requested to merge bjorn-out-master-patch-63602 into master Jan 22, 2022

Voor de boekenverkoop heb ik een Python scriptje gemaakt die de tabel die wij van bol.com krijgen omzet naar dit tooltje om te embedden in de website (uiteraard zou de styling dan anders zijn). Dat moet het kopen van boeken wat makkelijker maken voor leden.

De gegenereerde code is volledig HTML met gebruik van standaard Bootstrap functies, dus geen extra JS of andere trucs. Maar er worden wel drie attributes gebruikt die niet allowed zijn in viaduct pagina’s, namelijk “data-toggle” en “data-target” op buttons en links, en “target” op alleen links.

Deze attributes zijn volgens mij veilig om te accepteren in code van gebruikers, althans ik zie geen manier om er XSS mee te doen o.i.d. Met deze MR wil ik daarom voorstellen om deze toe te voegen aan de allowlist.

De boekenverkoop voor het komende semester opent snel, wij hopen deze tool dan te kunnen inzetten.

Allow "target", "data-target" and "data-toggle" attributes on links and buttons in Markdown pages

Merge request reports