lm-sys/FastChat
Voir sur GitHubUI contains cross-site scripting (XSS) vulnerabilities
Open
#88 ouverte le 31 mars 2023
11 commentaires (11 commentaires)0 réactions (0 réactions)0 assignés (0 assignés)Python38 959 stars (38 959 stars)4 736 forks (4 736 forks)batch import
good first issuehelp wanted
Description
the UI is not filtering input/output appropriately
Guide contributeur
- Stack technique
- javascriptreact
- Domaine
- frontendsecurity
- Type d'issue
- security
- DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.
- 3
- Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.
- half day
- Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.
- stale
- ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.
- needs investigation
- Prérequis
- basic understanding of XSSfamiliarity with Reactknowledge of input sanitization
- Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.
- 30
- Direction de recherche
- Investigate the UI components that render user input (e.g., chat messages, usernames) and check for missing output sanitization. Look for direct innerHTML usage or unsafe React dangerouslySetInnerHTML. Identify which inputs are vulnerable using the screenshot as reference. After locating the vulnerable code, apply a sanitization library like DOMPurify or ensure proper HTML escaping. Test with common XSS payloads to confirm the fix works.