]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blob - doc/bugs/pages_under_templates_are_invalid.mdwn
HTML-escape error messages (CVE-2016-4561)
[git.ikiwiki.info.git] / doc / bugs / pages_under_templates_are_invalid.mdwn
1 Pages under templates/ are invalid (in fact, not only invalid, but also not well-formed) xhtml pages.
3 This problem is especially serious when you change extension from .html to
4 .xhtml in ikiwiki.setup and use Firefox. Since Firefox will display a error
5 message only for not well-formed application/xhtml+xml pages.
7 It seems that HTML::Template also support `<!--Variable-->` syntax instead
8 of `<Variable>`.  Chaning to this syntax will solve this problem, I guess.
11 Even if changed to `<!-- TMPL_VAR -->` style, the problem may still exist if the template contains if else block.
13 Maybe just encode all &lt; and &gt; when compling pages within the templates folder will solve this problem.
15 > I never noticed this bug, since it only happens if the htmlscrubber is
16 > disabled. --[[Joey]]