<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>[46896] trunk: Prevent stored XSS in the block editor.</title>
</head>
<body>

<style type="text/css"><!--
#msg dl.meta { border: 1px #006 solid; background: #369; padding: 6px; color: #fff; }
#msg dl.meta dt { float: left; width: 6em; font-weight: bold; }
#msg dt:after { content:':';}
#msg dl, #msg dt, #msg ul, #msg li, #header, #footer, #logmsg { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt;  }
#msg dl a { font-weight: bold}
#msg dl a:link    { color:#fc3; }
#msg dl a:active  { color:#ff0; }
#msg dl a:visited { color:#cc6; }
h3 { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt; font-weight: bold; }
#msg pre { white-space: pre-line; overflow: auto; background: #ffc; border: 1px #fa0 solid; padding: 6px; }
#logmsg { background: #ffc; border: 1px #fa0 solid; padding: 1em 1em 0 1em; }
#logmsg p, #logmsg pre, #logmsg blockquote { margin: 0 0 1em 0; }
#logmsg p, #logmsg li, #logmsg dt, #logmsg dd { line-height: 14pt; }
#logmsg h1, #logmsg h2, #logmsg h3, #logmsg h4, #logmsg h5, #logmsg h6 { margin: .5em 0; }
#logmsg h1:first-child, #logmsg h2:first-child, #logmsg h3:first-child, #logmsg h4:first-child, #logmsg h5:first-child, #logmsg h6:first-child { margin-top: 0; }
#logmsg ul, #logmsg ol { padding: 0; list-style-position: inside; margin: 0 0 0 1em; }
#logmsg ul { text-indent: -1em; padding-left: 1em; }#logmsg ol { text-indent: -1.5em; padding-left: 1.5em; }
#logmsg > ul, #logmsg > ol { margin: 0 0 1em 0; }
#logmsg pre { background: #eee; padding: 1em; }
#logmsg blockquote { border: 1px solid #fa0; border-left-width: 10px; padding: 1em 1em 0 1em; background: white;}
#logmsg dl { margin: 0; }
#logmsg dt { font-weight: bold; }
#logmsg dd { margin: 0; padding: 0 0 0.5em 0; }
#logmsg dd:before { content:'\00bb';}
#logmsg table { border-spacing: 0px; border-collapse: collapse; border-top: 4px solid #fa0; border-bottom: 1px solid #fa0; background: #fff; }
#logmsg table th { text-align: left; font-weight: normal; padding: 0.2em 0.5em; border-top: 1px dotted #fa0; }
#logmsg table td { text-align: right; border-top: 1px dotted #fa0; padding: 0.2em 0.5em; }
#logmsg table thead th { text-align: center; border-bottom: 1px solid #fa0; }
#logmsg table th.Corner { text-align: left; }
#logmsg hr { border: none 0; border-top: 2px dashed #fa0; height: 1px; }
#header, #footer { color: #fff; background: #636; border: 1px #300 solid; padding: 6px; }
#patch { width: 100%; }
#patch h4 {font-family: verdana,arial,helvetica,sans-serif;font-size:10pt;padding:8px;background:#369;color:#fff;margin:0;}
#patch .propset h4, #patch .binary h4 {margin:0;}
#patch pre {padding:0;line-height:1.2em;margin:0;}
#patch .diff {width:100%;background:#eee;padding: 0 0 10px 0;overflow:auto;}
#patch .propset .diff, #patch .binary .diff  {padding:10px 0;}
#patch span {display:block;padding:0 10px;}
#patch .modfile, #patch .addfile, #patch .delfile, #patch .propset, #patch .binary, #patch .copfile {border:1px solid #ccc;margin:10px 0;}
#patch ins {background:#dfd;text-decoration:none;display:block;padding:0 10px;}
#patch del {background:#fdd;text-decoration:none;display:block;padding:0 10px;}
#patch .lines, .info {color:#888;background:#fff;}
--></style>
<div id="msg">
<dl class="meta" style="font-size: 105%">
<dt style="float: left; width: 6em; font-weight: bold">Revision</dt> <dd><a style="font-weight: bold" href="https://core.trac.wordpress.org/changeset/46896">46896</a><script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","description":"Review this Commit","action":{"@type":"ViewAction","url":"https://core.trac.wordpress.org/changeset/46896","name":"Review Commit"}}</script></dd>
<dt style="float: left; width: 6em; font-weight: bold">Author</dt> <dd>whyisjake</dd>
<dt style="float: left; width: 6em; font-weight: bold">Date</dt> <dd>2019-12-12 18:00:45 +0000 (Thu, 12 Dec 2019)</dd>
</dl>

<pre style='padding-left: 1em; margin: 2em 0; border-left: 2px solid #ccc; line-height: 1.25; font-size: 105%; font-family: sans-serif'>Prevent stored XSS in the block editor.

Prevent escaped unicode characters become unescaped in unsafe HTML during JSON decoding.

Props: aduth, epiqueras, </pre>

<h3>Modified Paths</h3>
<ul>
<li><a href="#trunksrcwpincludesblocksphp">trunk/src/wp-includes/blocks.php</a></li>
<li><a href="#trunksrcwpincludesdefaultfiltersphp">trunk/src/wp-includes/default-filters.php</a></li>
<li><a href="#trunksrcwpincludesformattingphp">trunk/src/wp-includes/formatting.php</a></li>
<li><a href="#trunktestsphpunittestsblocksblocktypephp">trunk/tests/phpunit/tests/blocks/block-type.php</a></li>
</ul>

</div>
<div id="patch">
<h3>Diff</h3>
<a id="trunksrcwpincludesblocksphp"></a>
<div class="modfile"><h4 style="background-color: #eee; color: inherit; margin: 1em 0; padding: 1.3em; font-size: 115%">Modified: trunk/src/wp-includes/blocks.php</h4>
<pre class="diff"><span>
<span class="info" style="display: block; padding: 0 10px; color: #888">--- trunk/src/wp-includes/blocks.php  2019-12-12 17:52:18 UTC (rev 46895)
+++ trunk/src/wp-includes/blocks.php    2019-12-12 18:00:45 UTC (rev 46896)
</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -74,11 +74,11 @@
</span><span class="cx" style="display: block; padding: 0 10px">  * @since 5.0.0
</span><span class="cx" style="display: block; padding: 0 10px">  * @see parse_blocks()
</span><span class="cx" style="display: block; padding: 0 10px">  *
</span><del style="background-color: #fdd; text-decoration:none; display:block; padding: 0 10px">- * @param string                  $block_type Full Block type to look for.
</del><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+ * @param string                  $block_name Full Block type to look for.
</ins><span class="cx" style="display: block; padding: 0 10px">  * @param int|string|WP_Post|null $post Optional. Post content, post ID, or post object. Defaults to global $post.
</span><span class="cx" style="display: block; padding: 0 10px">  * @return bool Whether the post content contains the specified block.
</span><span class="cx" style="display: block; padding: 0 10px">  */
</span><del style="background-color: #fdd; text-decoration:none; display:block; padding: 0 10px">-function has_block( $block_type, $post = null ) {
</del><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+function has_block( $block_name, $post = null ) {
</ins><span class="cx" style="display: block; padding: 0 10px">         if ( ! has_blocks( $post ) ) {
</span><span class="cx" style="display: block; padding: 0 10px">                return false;
</span><span class="cx" style="display: block; padding: 0 10px">        }
</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -90,7 +90,30 @@
</span><span class="cx" style="display: block; padding: 0 10px">                }
</span><span class="cx" style="display: block; padding: 0 10px">        }
</span><span class="cx" style="display: block; padding: 0 10px"> 
</span><del style="background-color: #fdd; text-decoration:none; display:block; padding: 0 10px">-        return false !== strpos( $post, '<!-- wp:' . $block_type . ' ' );
</del><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+ /*
+        * Normalize block name to include namespace, if provided as non-namespaced.
+        * This matches behavior for WordPress 5.0.0 - 5.3.0 in matching blocks by
+        * their serialized names.
+        */
+       if ( false === strpos( $block_name, '/' ) ) {
+               $block_name = 'core/' . $block_name;
+       }
+
+       // Test for existence of block by its fully qualified name.
+       $has_block = false !== strpos( $post, '<!-- wp:' . $block_name . ' ' );
+
+       if ( ! $has_block ) {
+               /*
+                * If the given block name would serialize to a different name, test for
+                * existence by the serialized form.
+                */
+               $serialized_block_name = strip_core_block_namespace( $block_name );
+               if ( $serialized_block_name !== $block_name ) {
+                       $has_block = false !== strpos( $post, '<!-- wp:' . $serialized_block_name . ' ' );
+               }
+       }
+
+       return $has_block;
</ins><span class="cx" style="display: block; padding: 0 10px"> }
</span><span class="cx" style="display: block; padding: 0 10px"> 
</span><span class="cx" style="display: block; padding: 0 10px"> /**
</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -114,6 +137,207 @@
</span><span class="cx" style="display: block; padding: 0 10px"> }
</span><span class="cx" style="display: block; padding: 0 10px"> 
</span><span class="cx" style="display: block; padding: 0 10px"> /**
</span><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+ * Given an array of attributes, returns a string in the serialized attributes
+ * format prepared for post content.
+ *
+ * The serialized result is a JSON-encoded string, with unicode escape sequence
+ * substitution for characters which might otherwise interfere with embedding
+ * the result in an HTML comment.
+ *
+ * @since 5.3.1
+ *
+ * @param array $attributes Attributes object.
+ * @return string Serialized attributes.
+ */
+function serialize_block_attributes( $block_attributes ) {
+       $encoded_attributes = json_encode( $block_attributes );
+       $encoded_attributes = preg_replace( '/--/', '\\u002d\\u002d', $encoded_attributes );
+       $encoded_attributes = preg_replace( '/</', '\\u003c', $encoded_attributes );
+       $encoded_attributes = preg_replace( '/>/', '\\u003e', $encoded_attributes );
+       $encoded_attributes = preg_replace( '/&/', '\\u0026', $encoded_attributes );
+       // Regex: /\\"/
+       $encoded_attributes = preg_replace( '/\\\\"/', '\\u0022', $encoded_attributes );
+
+       return $encoded_attributes;
+}
+
+/**
+ * Returns the block name to use for serialization. This will remove the default
+ * "core/" namespace from a block name.
+ *
+ * @since 5.3.1
+ *
+ * @param string $block_name Original block name.
+ * @return string Block name to use for serialization.
+ */
+function strip_core_block_namespace( $block_name = null ) {
+       if ( is_string( $block_name ) && 0 === strpos( $block_name, 'core/' ) ) {
+               return substr( $block_name, 5 );
+       }
+
+       return $block_name;
+}
+
+/**
+ * Returns the content of a block, including comment delimiters.
+ *
+ * @since 5.3.1
+ *
+ * @param string $block_name Block name.
+ * @param array  $attributes Block attributes.
+ * @param string $content    Block save content.
+ * @return string Comment-delimited block content.
+ */
+function get_comment_delimited_block_content( $block_name = null, $block_attributes, $block_content ) {
+       if ( is_null( $block_name ) ) {
+               return $block_content;
+       }
+
+       $serialized_block_name = strip_core_block_namespace( $block_name );
+       $serialized_attributes = empty( $block_attributes ) ? '' : serialize_block_attributes( $block_attributes ) . ' ';
+
+       if ( empty( $block_content ) ) {
+               return sprintf( '<!-- wp:%s %s/-->', $serialized_block_name, $serialized_attributes );
+       }
+
+       return sprintf(
+               '<!-- wp:%s %s-->%s<!-- /wp:%s -->',
+               $serialized_block_name,
+               $serialized_attributes,
+               $block_content,
+               $serialized_block_name
+       );
+}
+
+/**
+ * Returns the content of a block, including comment delimiters, serializing all
+ * attributes from the given parsed block.
+ *
+ * This should be used when preparing a block to be saved to post content.
+ * Prefer `render_block` when preparing a block for display. Unlike
+ * `render_block`, this does not evaluate a block's `render_callback`, and will
+ * instead preserve the markup as parsed.
+ *
+ * @since 5.3.1
+ *
+ * @param WP_Block_Parser_Block $block A single parsed block object.
+ * @return string String of rendered HTML.
+ */
+function serialize_block( $block ) {
+       $block_content = '';
+
+       $index = 0;
+       foreach ( $block['innerContent'] as $chunk ) {
+               $block_content .= is_string( $chunk ) ? $chunk : serialize_block( $block['innerBlocks'][ $index++ ] );
+       }
+
+       if ( ! is_array( $block['attrs'] ) ) {
+               $block['attrs'] = array();
+       }
+
+       return get_comment_delimited_block_content(
+               $block['blockName'],
+               $block['attrs'],
+               $block_content
+       );
+}
+
+/**
+ * Returns a joined string of the aggregate serialization of the given parsed
+ * blocks.
+ *
+ * @since 5.3.1
+ *
+ * @param WP_Block_Parser_Block[] $blocks Parsed block objects.
+ * @return string String of rendered HTML.
+ */
+function serialize_blocks( $blocks ) {
+       return implode( '', array_map( 'serialize_block', $blocks ) );
+}
+
+/**
+ * Filters and sanitizes block content to remove non-allowable HTML from
+ * parsed block attribute values.
+ *
+ * @since 5.3.1
+ *
+ * @param string         $text              Text that may contain block content.
+ * @param array[]|string $allowed_html      An array of allowed HTML elements
+ *                                          and attributes, or a context name
+ *                                          such as 'post'.
+ * @param string[]       $allowed_protocols Array of allowed URL protocols.
+ * @return string The filtered and sanitized content result.
+ */
+function filter_block_content( $text, $allowed_html = 'post', $allowed_protocols = array() ) {
+       $result = '';
+
+       $blocks = parse_blocks( $text );
+       foreach ( $blocks as $block ) {
+               $block   = filter_block_kses( $block, $allowed_html, $allowed_protocols );
+               $result .= serialize_block( $block );
+       }
+
+       return $result;
+}
+
+/**
+ * Filters and sanitizes a parsed block to remove non-allowable HTML from block
+ * attribute values.
+ *
+ * @since 5.3.1
+ *
+ * @param WP_Block_Parser_Block $block             The parsed block object.
+ * @param array[]|string        $allowed_html      An array of allowed HTML
+ *                                                 elements and attributes, or a
+ *                                                 context name such as 'post'.
+ * @param string[]              $allowed_protocols Allowed URL protocols.
+ * @return array The filtered and sanitized block object result.
+ */
+function filter_block_kses( $block, $allowed_html, $allowed_protocols = array() ) {
+       $block['attrs'] = filter_block_kses_value( $block['attrs'], $allowed_html, $allowed_protocols );
+
+       if ( is_array( $block['innerBlocks'] ) ) {
+               foreach ( $block['innerBlocks'] as $i => $inner_block ) {
+                       $block['innerBlocks'][ $i ] = filter_block_kses( $inner_block, $allowed_html, $allowed_protocols );
+               }
+       }
+
+       return $block;
+}
+
+/**
+ * Filters and sanitizes a parsed block attribute value to remove non-allowable
+ * HTML.
+ *
+ * @since 5.3.1
+ *
+ * @param mixed          $value             The attribute value to filter.
+ * @param array[]|string $allowed_html      An array of allowed HTML elements
+ *                                          and attributes, or a context name
+ *                                          such as 'post'.
+ * @param string[]       $allowed_protocols Array of allowed URL protocols.
+ * @return array The filtered and sanitized result.
+ */
+function filter_block_kses_value( $value, $allowed_html, $allowed_protocols = array() ) {
+       if ( is_array( $value ) ) {
+               foreach ( $value as $key => $inner_value ) {
+                       $filtered_key   = filter_block_kses_value( $key, $allowed_html, $allowed_protocols );
+                       $filtered_value = filter_block_kses_value( $inner_value, $allowed_html, $allowed_protocols );
+
+                       if ( $filtered_key !== $key ) {
+                               unset( $value[ $key ] );
+                       }
+
+                       $value[ $filtered_key ] = $filtered_value;
+               }
+       } elseif ( is_string( $value ) ) {
+               return wp_kses( $value, $allowed_html, $allowed_protocols );
+       }
+
+       return $value;
+}
+
+/**
</ins><span class="cx" style="display: block; padding: 0 10px">  * Parses blocks out of a content string, and renders those appropriate for the excerpt.
</span><span class="cx" style="display: block; padding: 0 10px">  *
</span><span class="cx" style="display: block; padding: 0 10px">  * As the excerpt should be a small string of text relevant to the full post content,
</span></span></pre></div>
<a id="trunksrcwpincludesdefaultfiltersphp"></a>
<div class="modfile"><h4 style="background-color: #eee; color: inherit; margin: 1em 0; padding: 1.3em; font-size: 115%">Modified: trunk/src/wp-includes/default-filters.php</h4>
<pre class="diff"><span>
<span class="info" style="display: block; padding: 0 10px; color: #888">--- trunk/src/wp-includes/default-filters.php 2019-12-12 17:52:18 UTC (rev 46895)
+++ trunk/src/wp-includes/default-filters.php   2019-12-12 18:00:45 UTC (rev 46896)
</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -243,6 +243,7 @@
</span><span class="cx" style="display: block; padding: 0 10px"> add_filter( 'tiny_mce_before_init', '_mce_set_direction' );
</span><span class="cx" style="display: block; padding: 0 10px"> add_filter( 'teeny_mce_before_init', '_mce_set_direction' );
</span><span class="cx" style="display: block; padding: 0 10px"> add_filter( 'pre_kses', 'wp_pre_kses_less_than' );
</span><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+add_filter( 'pre_kses', 'wp_pre_kses_block_attributes', 10, 3 );
</ins><span class="cx" style="display: block; padding: 0 10px"> add_filter( 'sanitize_title', 'sanitize_title_with_dashes', 10, 3 );
</span><span class="cx" style="display: block; padding: 0 10px"> add_action( 'check_comment_flood', 'check_comment_flood_db', 10, 4 );
</span><span class="cx" style="display: block; padding: 0 10px"> add_filter( 'comment_flood_filter', 'wp_throttle_comment_flood', 10, 3 );
</span></span></pre></div>
<a id="trunksrcwpincludesformattingphp"></a>
<div class="modfile"><h4 style="background-color: #eee; color: inherit; margin: 1em 0; padding: 1.3em; font-size: 115%">Modified: trunk/src/wp-includes/formatting.php</h4>
<pre class="diff"><span>
<span class="info" style="display: block; padding: 0 10px; color: #888">--- trunk/src/wp-includes/formatting.php      2019-12-12 17:52:18 UTC (rev 46895)
+++ trunk/src/wp-includes/formatting.php        2019-12-12 18:00:45 UTC (rev 46896)
</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -4905,6 +4905,31 @@
</span><span class="cx" style="display: block; padding: 0 10px"> }
</span><span class="cx" style="display: block; padding: 0 10px"> 
</span><span class="cx" style="display: block; padding: 0 10px"> /**
</span><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+ * Remove non-allowable HTML from parsed block attribute values when filtering
+ * in the post context.
+ *
+ * @since 5.3.1
+ *
+ * @param string         $string            Content to be run through KSES.
+ * @param array[]|string $allowed_html      An array of allowed HTML elements
+ *                                          and attributes, or a context name
+ *                                          such as 'post'.
+ * @param string[]       $allowed_protocols Array of allowed URL protocols.
+ * @return string Filtered text to run through KSES.
+ */
+function wp_pre_kses_block_attributes( $string, $allowed_html, $allowed_protocols ) {
+       /*
+        * `filter_block_content` is expected to call `wp_kses`. Temporarily remove
+        * the filter to avoid recursion.
+        */
+       remove_filter( 'pre_kses', 'wp_pre_kses_block_attributes', 10 );
+       $string = filter_block_content( $string, $allowed_html, $allowed_protocols );
+       add_filter( 'pre_kses', 'wp_pre_kses_block_attributes', 10, 3 );
+
+       return $string;
+}
+
+/**
</ins><span class="cx" style="display: block; padding: 0 10px">  * WordPress implementation of PHP sprintf() with filters.
</span><span class="cx" style="display: block; padding: 0 10px">  *
</span><span class="cx" style="display: block; padding: 0 10px">  * @since 2.5.0
</span></span></pre></div>
<a id="trunktestsphpunittestsblocksblocktypephp"></a>
<div class="modfile"><h4 style="background-color: #eee; color: inherit; margin: 1em 0; padding: 1.3em; font-size: 115%">Modified: trunk/tests/phpunit/tests/blocks/block-type.php</h4>
<pre class="diff"><span>
<span class="info" style="display: block; padding: 0 10px; color: #888">--- trunk/tests/phpunit/tests/blocks/block-type.php   2019-12-12 17:52:18 UTC (rev 46895)
+++ trunk/tests/phpunit/tests/blocks/block-type.php     2019-12-12 18:00:45 UTC (rev 46896)
</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -304,6 +304,24 @@
</span><span class="cx" style="display: block; padding: 0 10px">                $this->assertFalse( has_block( 'core/fake' ) );
</span><span class="cx" style="display: block; padding: 0 10px">        }
</span><span class="cx" style="display: block; padding: 0 10px"> 
</span><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+        public function test_post_has_block_serialized_name() {
+               $content = '<!-- wp:serialized /--><!-- wp:core/normalized /--><!-- wp:plugin/third-party /-->';
+
+               $this->assertTrue( has_block( 'core/serialized', $content ) );
+
+               /*
+                * Technically, `has_block` should receive a "full" (normalized, parsed)
+                * block name. But this test conforms to expected pre-5.3.1 behavior.
+                */
+               $this->assertTrue( has_block( 'serialized', $content ) );
+               $this->assertTrue( has_block( 'core/normalized', $content ) );
+               $this->assertTrue( has_block( 'normalized', $content ) );
+               $this->assertFalse( has_block( 'plugin/normalized', $content ) );
+               $this->assertFalse( has_block( 'plugin/serialized', $content ) );
+               $this->assertFalse( has_block( 'third-party', $content ) );
+               $this->assertFalse( has_block( 'core/third-party', $content ) );
+       }
+
</ins><span class="cx" style="display: block; padding: 0 10px">         /**
</span><span class="cx" style="display: block; padding: 0 10px">         * Renders a test block without content.
</span><span class="cx" style="display: block; padding: 0 10px">         *
</span></span></pre>
</div>
</div>

</body>
</html>