crtxcr
/
cgitsb
1
0
フォーク 0
コード イシュー プルリクエスト リリース Wiki アクティビティ

ui-diff.c: avoid html injection 

When path-filtering was used in commit-view, the path filter was
included without proper html escaping. This patch closes the hole.

Signed-off-by: Lukasz Janyst <ljanyst@cern.ch>
Signed-off-by: Lars Hjemli <hjemli@gmail.com>
このコミットが含まれているのは:
Lukasz Janyst 2011-03-05 14:10:55 +01:00 committed by Lars Hjemli
1b09cbd303
コミット 7f3c6e0ce9
1個のファイルの変更5行の追加2行の削除
統計情報を表示 Patchファイルをダウンロード Diffファイルをダウンロード すべてのファイルを展開 すべてのファイルを折り畳む

7
ui-diff.c
ファイルの表示

@ -172,8 +172,11 @@ void cgit_print_diffstat(const unsigned char *old_sha1,
html("<div class='diffstat-header'>"); html("<div class='diffstat-header'>");
cgit_diff_link("Diffstat", NULL, NULL, ctx.qry.head, ctx.qry.sha1, cgit_diff_link("Diffstat", NULL, NULL, ctx.qry.head, ctx.qry.sha1,
ctx.qry.sha2, NULL, 0); ctx.qry.sha2, NULL, 0);
if (prefix) if (prefix) {
htmlf(" (limited to '%s')", prefix); html(" (limited to '");
html_txt(prefix);
html("')");
}
html(" ("); html(" (");
ctx.qry.context = (save_context > 0 ? save_context : 3) << 1; ctx.qry.context = (save_context > 0 ? save_context : 3) << 1;
cgit_self_link("more", NULL, NULL, &ctx); cgit_self_link("more", NULL, NULL, &ctx);