Project

General

Profile

Anomalie #13800

[CSS] Chemins relatifs

Added by Elodie SOME-BLAD 5 months ago. Updated 5 months ago.

Status:
Rejetée
Priority:
2-Sérieux
Assignee:
-
Target version:
Start date:
04/20/2020
Due date:
Itération:
200507
Extension/Module:
Fonction:
SCRUM - Valeur:

Description

Remontée : Path-relative stylesheet import (PRSSI) vulnerability

Les CSS intégrés à l'IHM le sont par une URL relative (commençant par /), ce qui peut permettre des attaques.

Analyse
2 cas à traiter :

Ressources statiques renvoyées par l'application (urls commençant par /presentation)

Ajout des headers http possibles:

X-Frame-Options: deny
X-Content-Type-Options: nosniff

Le serveur statique (core/StaticKernel.php) doit ajouter ces en-têtes, seulement pour les CSS ??

Ressources publiques renvoyées directement par le serveur HTTP (urls commençant par /public)

Le module Apache Rewrite permet d'ajouter des en-têtes conditionnels dans la configuration de l'hôte virtuel.

Même question: peut-on ajouter les en-têtes sur tous les types de fchiers ou seulement les CSS ?

RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_URI} ^/public [NC]
RewriteRule .* - [QSA,L]
X-Frame-Options: deny
X-Content-Type-Options: nosniff`

History

#2 Updated by Cyril VAZQUEZ 5 months ago

  • Subject changed from [Stockage] Chemins relatifs to [CSS] Chemins relatifs
  • Description updated (diff)

#3 Updated by Cyril VAZQUEZ 5 months ago

  • Assignee deleted (Cyril VAZQUEZ)

#4 Updated by Cyril VAZQUEZ 5 months ago

  • Itération 200507 added

#5 Updated by Cyril VAZQUEZ 5 months ago

  • Description updated (diff)
  • Status changed from A étudier to En cours

#6 Updated by Cyril VAZQUEZ 5 months ago

  • Status changed from En cours to Rejetée

Also available in: Atom PDF