]> sipb.mit.edu Git - ikiwiki.git/blobdiff - doc/security.mdwn
sipb-www / ikiwiki.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
a few thoughts on data: security
[ikiwiki.git] / doc / security.mdwn
diff --git a/doc/security.mdwn b/doc/security.mdwn
index d834aa1a5e726deb51790fb5454d58cf77407db5..d9e0f655b2276df9da619f8597f138aab99371c8 100644 (file)
--- a/doc/security.mdwn
+++ b/doc/security.mdwn
@@ -47,6 +47,13 @@ Users with only web commit access are limited to editing pages as ikiwiki
 doesn't support file uploads from browsers (yet), so they can't exploit
 this.
 
 doesn't support file uploads from browsers (yet), so they can't exploit
 this.
 
+It is possible to embed an image in a page edited over the web, by using
+`img src="data:image/png;"`. Ikiwiki's htmlscrubber only allows `data:`
+urls to be used for `image/*` mime types. It's possible that some broken
+browser might ignore the mime type and if the data provided is not an
+image, instead run it as javascript, or something evil like that. Hopefully
+not many browsers are that broken.
+
 ## multiple accessors of wiki directory
 
 If multiple people can directly write to the source directory ikiwiki is
 ## multiple accessors of wiki directory
 
 If multiple people can directly write to the source directory ikiwiki is
wiki compiler