FMC-495 FMC susceptible to cross site scripting issues
authorStan Lewis <slewis@fusesource.com>
Fri, 20 Sep 2013 01:40:38 +0000 (21:40 -0400)
committerStan Lewis <slewis@fusesource.com>
Fri, 20 Sep 2013 01:40:38 +0000 (21:40 -0400)
fabric/fmc-webui/src/main/webapp/app/controllers/controls/dialog.coffee
fabric/fmc-webui/src/main/webapp/app/frameworks.coffee

index ef31f2c..0a85c89 100644 (file)
@@ -135,7 +135,7 @@ define [
     new FON.ConfirmationDialog
       backwards: true
       header: -> "Confirm #{_.titleize(action)}"
-      body_text: -> "Are you sure you want to #{action} the #{type} &#8220;#{id}&#8221;?"
+      body_text: -> "Are you sure you want to #{FON.escapeHtml(action)} the #{FON.escapeHtml(type)} &#8220;#{FON.escapeHtml(id)}&#8221;?"
       on_accept: ->
         on_accept()
         @do_hide()
index df83a71..2c6a8a7 100644 (file)
@@ -285,7 +285,7 @@ define [
     escapeHtml: (str) ->
       div = document.createElement 'div'
       div.appendChild(document.createTextNode(str))
-      div.innerHtml
+      div.innerHTML
 
     unescapeHtml: (escapedStr) ->
       div = document.createElement 'div'