lm-sys/FastChat
Auf GitHub ansehenUI contains cross-site scripting (XSS) vulnerabilities
Open
#88 geöffnet am 31. März 2023
11 Kommentare (11 Kommentare)0 Reaktionen (0 Reaktionen)0 zugewiesene Personen (0 zugewiesene Personen)Python38.959 Stars (38.959 Stars)4.736 Forks (4.736 Forks)batch import
good first issuehelp wanted
Beschreibung
the UI is not filtering input/output appropriately
Contributor Guide
- Tech Stack
- javascriptreact
- Domain
- frontendsecurity
- Issue Type
- security
- SchwierigkeitGeschätzte Implementierungsschwierigkeit für neue Contributors, von 1 für sehr kleine Änderungen bis 5 für Expertenarbeit.
- 3
- Geschätzte ZeitEin grober Zeitrahmen, um zu recherchieren, zu implementieren, zu testen und einen Pull Request vorzubereiten.
- half day
- AktivitätsstatusWie verfügbar das Issue gerade wirkt: frisch, aktiv, stale, blockiert oder wartet auf Maintainer-Input.
- stale
- KlarheitWie klar das Issue die erwartete Änderung, Akzeptanzkriterien und den nächsten Schritt erklärt.
- needs investigation
- Voraussetzungen
- basic understanding of XSSfamiliarity with Reactknowledge of input sanitization
- EinsteigerfreundlichkeitEin Score von 1 bis 100, der schätzt, wie zugänglich dieses Issue für First-Time Contributors ist.
- 30
- Research-Richtung
- Investigate the UI components that render user input (e.g., chat messages, usernames) and check for missing output sanitization. Look for direct innerHTML usage or unsafe React dangerouslySetInnerHTML. Identify which inputs are vulnerable using the screenshot as reference. After locating the vulnerable code, apply a sanitization library like DOMPurify or ensure proper HTML escaping. Test with common XSS payloads to confirm the fix works.