a few thoughts on data: security
authorJoey Hess <joey@kodama.kitenet.net>
Sun, 10 Feb 2008 20:55:42 +0000 (15:55 -0500)
committerJoey Hess <joey@kodama.kitenet.net>
Sun, 10 Feb 2008 20:55:42 +0000 (15:55 -0500)
doc/security.mdwn

index d834aa1a5e726deb51790fb5454d58cf77407db5..d9e0f655b2276df9da619f8597f138aab99371c8 100644 (file)
@@ -47,6 +47,13 @@ Users with only web commit access are limited to editing pages as ikiwiki
 doesn't support file uploads from browsers (yet), so they can't exploit
 this.
 
+It is possible to embed an image in a page edited over the web, by using
+`img src="data:image/png;"`. Ikiwiki's htmlscrubber only allows `data:`
+urls to be used for `image/*` mime types. It's possible that some broken
+browser might ignore the mime type and if the data provided is not an
+image, instead run it as javascript, or something evil like that. Hopefully
+not many browsers are that broken.
+
 ## multiple accessors of wiki directory
 
 If multiple people can directly write to the source directory ikiwiki is