Главная Обзор Помощь
Вход
wiki
/
weseek__growi
зеркало из https://github.com/weseek/growi
2
0
Ответвить 0
Файлы Задачи 0 Вики
Просмотр исходного кода

prevent script

itizawa 5 лет назад
Родитель
e49058cfa4
Сommit
a63133bf66
2 измененных файлов с 5 добавлено и 8 удалено
Разделённый вид Показать статистику Diff
  1. 1 1
      src/server/models/user.js
  2. 4 7
      src/server/routes/attachment.js

+ 1 - 1
src/server/models/user.js
Просмотреть файл 

@@ -20,7 +20,7 @@ module.exports = function(crowi) {
 
   const STATUS_DELETED = 4;
 
   const STATUS_INVITED = 5;
 
   const USER_PUBLIC_FIELDS = '_id image isEmailPublished isGravatarEnabled googleId name username email introduction'
 
-  + 'status lang createdAt lastLoginAt admin imageUrlCached';
 
++ 'status lang createdAt lastLoginAt admin imageUrlCached';
 
 
   const PAGE_ITEMS = 50;

+ 4 - 7
src/server/routes/attachment.js
Просмотреть файл 

@@ -226,15 +226,12 @@ module.exports = function(crowi, app) {
 
         'Content-Disposition': `attachment;filename*=UTF-8''${encodeURIComponent(attachment.originalName)}`,
 
       });
 
     }
 
-    // prevent xss
 
-    else if (attachment.fileFormat === 'image/svg+xml') {
 
-      res.set({
 
-        'Content-Security-Policy': "connect-src 'none';",
 
-      });
 
-    }
 
     // reference
 
     else {
 
-      res.set('Content-Type', attachment.fileFormat);
 
+      res.set({
 
+        'Content-Type': attachment.fileFormat,
 
+        'Content-Security-Policy': "script-src 'unsafe-hashes'",
 
+      });
 
     }
 
   }