]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blob - doc/bugs/img_plugin_and_class_attr.mdwn
HTML-escape error messages (CVE-2016-4561)
[git.ikiwiki.info.git] / doc / bugs / img_plugin_and_class_attr.mdwn
1 The [[plugins/img]] plugin is not generating the proper `class`
2 attribute in its HTML output.
4 The plugin receives something like the following:
6     \[[!img 129199047595759991.jpg class="centered"]]
8 And is supossed to generate an HTML code like the following:
10     <img src="129199047595759991.jpg" class="centered" />
12 But is generating the following
14     <img src="129199047595759991.jpg" class="centered img" />
16 This seems to be happening with all images inserted using the plugin (that use
17 the `class=yaddayadda` argument to the `img` directive.) I remember it didn't
18 happen before, and I suspect an ikiwiki upgrade is to blame. I tested with a
19 blog created from scratch, and a single post, and the problem appeared there
20 too.
22 This is happening with version 3.20100815 of ikiwiki.
24 [[jerojasro]]
26 > How is this a bug? It's perfectly legal html for a class attribute to 
27 > put an element into multiple classes. [[notabug|done]] --[[Joey]]