
<p></p>

<p><b>@gravitystorm</b> commented on this pull request.</p>


<hr>


<p>In <a href="https://github.com/openstreetmap/openstreetmap-website/pull/3301#discussion_r968147208">app/views/site/communities.html.erb</a>:</p>

<pre style='color:#555'>> @@ -0,0 +1,17 @@

+<% content_for :heading do %>

+  <h1><%= t ".title" %></h1>

+<% end %>

+

+<p class="lead"><%= t ".lede_text" %></p>

+

+<h2><%= t ".local_chapters.title" %></h2>

+<p><%= t ".local_chapters.about_text" %></p>

+<p><%= t ".local_chapters.list_text" %></p>

+<ul>

+  <% @local_chapters.each do |chapter| %>

+    <li><a href="<%= chapter.url %>"><%= t "osm_community_index.communities.#{chapter.id}.name" %></a></li>

</pre>

<p dir="auto">A supply chain XSS attack would be where something we rely on but don't control (in this case, the community index repo, and the translations therein) has nefarious html that we incorporate into our site.</p>

<p dir="auto">But the rails translation system will automatically escape any html found in the translation strings, unless steps are taken to output the translated string in raw format (e.g. by appending <code class="notranslate">_html</code> to the key). So unless I'm wrong, and it which case I'd love to see a more detailed explanation, a PoC, or steps to recreate, then this is fine and no different from what we do already with our own translations.</p>


<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/pull/3301#discussion_r968147208">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/AAK2OLJDHQPRP6GMG7AO6DDV53U2XANCNFSM5CXUIRLQ">unsubscribe</a>.<br />You are receiving this because you are subscribed to this thread.<img src="https://github.com/notifications/beacon/AAK2OLIBQDKMFWXDR5FZC7LV53U2XA5CNFSM5CXUIRL2YY3PNVWWK3TUL52HS4DFWFIHK3DMKJSXC5LFON2FEZLWNFSXPKTDN5WW2ZLOORPWSZGOIHEUCCI.gif" height="1" width="1" alt="" /><span style="color: transparent; font-size: 0; display: none; visibility: hidden; overflow: hidden; opacity: 0; width: 0; height: 0; max-width: 0; max-height: 0; mso-hide: all">Message ID: <span><openstreetmap/openstreetmap-website/pull/3301/review/1103708425</span><span>@</span><span>github</span><span>.</span><span>com></span></span></p>

<script type="application/ld+json">[

{

"@context": "http://schema.org",

"@type": "EmailMessage",

"potentialAction": {

"@type": "ViewAction",

"target": "https://github.com/openstreetmap/openstreetmap-website/pull/3301#discussion_r968147208",

"url": "https://github.com/openstreetmap/openstreetmap-website/pull/3301#discussion_r968147208",

"name": "View Pull Request"

},

"description": "View this Pull Request on GitHub",

"publisher": {

"@type": "Organization",

"name": "GitHub",

"url": "https://github.com"

}

}

]</script>