matrix-org/synapse

Upgrade to Bleach 1.5, to limit link schemes to an allowlist

Open

#2,860 建立於 2018年2月9日

在 GitHub 查看
 (3 留言) (0 反應) (0 負責人)Python (11,713 star) (2,196 fork)batch import
A-Email-PushP4T-EnhancementZ-Help-Wantedgood first issue

描述

The 1.5 version of Bleach made the allowed protocols configurable: http://bleach.readthedocs.io/en/latest/clean.html#allowed-protocols-protocols

Once the dependency is updated, the safe_markup function in the mailer can be updated and these lines can be uncommented: https://github.com/matrix-org/synapse/blob/42b50483be2b022735f8ae2107314d51e92e8471/synapse/push/mailer.py#L76-L77

貢獻者指南

技術棧
python
領域
backendsecurity
議題類型
security
難度面向新貢獻者的預計實作難度,1 表示很小改動,5 表示專家級工作。
2
預計時間有經驗貢獻者完成調查、實作、測試並準備 pull request 的粗略時間範圍。
under 1 hour
活動狀態議題目前的可參與程度:新鮮、活躍、陳舊、阻塞或等待維護者輸入。
stale
清晰度議題是否清楚說明預期改動、驗收標準和下一步。
clear
前置要求
Pythonpip
新手友善度1-100 的估計分數,表示該議題對首次貢獻者的友善程度。
85
研究方向
First, upgrade the Bleach dependency in the project's requirements file (e.g., requirements.txt) to version 1.5. Then, modify the `safe markup` function in `synapse/push/mailer.py` to uncomment the lines (L76 L77) that configure allowed protocols, following Bleach's new API. Finally, ensure tests pass and consider adding a test for the new allowlist behavior.
Upgrade to Bleach 1.5, to limit link schemes to an allowlist · matrix-org/synapse#2860 | Good First Issue