Parsedown v1.7.0 Dirilis, Fix Masalah XSS
Takagi Fujimaru 2 Maret 2018
Sejak Laravel 5.4, framework ini telah memiliki sebuah markdown parser bernama Parsedown. meski dipakai secara internal untuk email markdown, kita juga bisa menggunakannya ditempat lain.
Baru-baru ini tim Parsedown mengumumkan versi 1.7.0. Versi ini dirilis untuk menyelesaikan masalah XSS yang menyebabkan vulnerability check SensioLabs Composer menjadi fail. Laravel 5.6.7 juga sudah mengikutsertakan update dependensi Parsedown-nya. Update ini bisa ditarik dengan perintah composer update
.
Untuk mengaktifkan fitur baru yang memproses untrusted user-input gunakan perintah:
$parsedown = new Parsedown;
$parsedown->setSafeMode(true);
File README Parsedown juga menyarankan untuk menggunakan HTML sanitizer seperti HTML Purifier jika ingin mem-filter kode-kode HTML.
Sumber: laravel-news