<div dir="ltr"><div>XSS is hard to test for automatically due to logically flows in the application not being easily discoverable.  Also it kind of requires functional testing.<br><br></div><div>But if you can write the test infra would probably merge the code.<br>
</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Aug 4, 2014 at 10:44 PM, Grant Murphy <span dir="ltr"><<a href="mailto:gmurphy@redhat.com" target="_blank">gmurphy@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I've been trying to put together some historical information about the<br>
security vulnerabilities that we are seeing in OpenStack [1]. The one thing<br>
that I've noticed is that we don't seem to be learning from our mistakes.<br>
<br>
The particular example that I'd like to call out is XSS.  This is a<br>
very well known problem with a simple solution. Most template<br>
frameworks when used correctly will automatically escape input unless<br>
autoescape is explicitly disabled. So why are we still seeing this class of<br>
bug turn up in 2014?<br>
<br>
I'd like to propose that the OSSG does a review of horizon's current<br>
strategy for mitigating this type of flaw and find a better way forward<br>
for future releases. Is anybody able to help out with this?<br>
<br>
[1] <a href="http://openstack-security.info" target="_blank">http://openstack-security.info</a>  (#wip)<br>
<br>
--<br>
Grant<br>
<br>
<br>_______________________________________________<br>
Openstack-security mailing list<br>
<a href="mailto:Openstack-security@lists.openstack.org">Openstack-security@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security</a><br>
<br></blockquote></div><br></div>