<div dir="ltr"><div>Hey all,</div><div>     Recently when we integrating and testing OpenStack services. We found there is a potential script injection issue that some of our services accept the input with special character [1] [2], for instance we can create an instance or a volume with the name of '<script>script inside</script>'. One of the possible solutions is add HTML encode/decode support in Horizon, but it's not guaranteed every OpenStack user is using Horizon. So should we apply more strict restriction on user's input? </div><div>     Also, I found  Google Cloud have a strict and explicit restrction in their instance insert API document [3].</div><div><br></div><div>[1]: Nova: <a href="https://github.com/openstack/nova/blob/master/nova/api/validation/parameter_types.py#L148">https://github.com/openstack/nova/blob/master/nova/api/validation/parameter_types.py#L148</a></div><div>[2]: Cinder: <a href="https://github.com/openstack/cinder/blob/master/cinder/api/openstack/wsgi.py#L1253">https://github.com/openstack/cinder/blob/master/cinder/api/openstack/wsgi.py#L1253</a></div><div>[3]: Google Cloud: <a href="https://cloud.google.com/compute/docs/reference/latest/instances/insert">https://cloud.google.com/compute/docs/reference/latest/instances/insert</a></div><div><br></div><div>Thanks</div><div>TommyLike.Hu</div><div><br></div><div><br></div></div>