python · bleachAtenção
Bleach: falha ao remover esquemas de URI com Unicode em bleach.clean
A função bleach.clean não remove esquemas de URI não permitidos quando contêm caracteres Unicode (ex.: zero-width space), permitindo URIs como javascript\u200b:
O que mudou
A função bleach.clean não remove esquemas de URI não permitidos quando contêm caracteres Unicode (ex.: zero-width space), permitindo URIs como javascript\u200b:alert(1). Isso quebra a lista de permissões de protocolo.
Quem isso afeta
Usuários do Bleach que permitem tags 'a' e atributos 'href' em bleach.clean, especialmente os que dependem do sanitizador para aplicar uma lista de permissões de protocolo.
O que fazer hoje
Atualize para Bleach 6.4.0 ou aplique workaround: pré-processe o conteúdo removendo caracteres não ASCII de esquemas de URI antes de sanitizar.
A esteira
Coletado→
Auditado→
Redigido→
Publicado