php · symfony/html-sanitizerAtenção
symfony/html-sanitizer: sanitização de atributos URL expandida e novo sanitizador para meta refresh
UrlAttributeSanitizer agora também sanitiza os atributos 'data', 'codebase', 'archive', 'longdesc'.
O que mudou
UrlAttributeSanitizer agora também sanitiza os atributos 'data', 'codebase', 'archive', 'longdesc'. Um novo MetaRefreshAttributeSanitizer sanitiza URLs dentro de <meta http-equiv="refresh" content="...">.
Quem isso afeta
Integradores que explicitamente permitem elementos como <object>, <applet>, <iframe>, <img> ou <meta> com atributos contendo URL (ex.: via allowElement ou allowAttribute). Configurações padrão não são afetadas.
O que fazer hoje
Atualize symfony/html-sanitizer para a versão corrigida mais recente (6.4, 7.4, 8.0 ou 8.1) para garantir que a sanitização de URLs cubra os novos atributos e meta refresh.
A esteira
Coletado→
Auditado→
Redigido→
Publicado