typer
typer****@cubic*****
2003年 6月 13日 (金) 00:17:34 JST
Forktyper.加藤です。
早速ですが、ユーザ定義スタイル(usercss)はUtil::escapeHTML通してないですよね。
そのためにSTYLEタグを閉じて任意のタグを入れることが出来ます。
CSSは詳しくないのでわからないのですが、Util::escapeHTMLを通して表示すると
不都合がありますか?
というのも、一応usercssの変更が出来るのは管理者だけですが、
その管理者のパスワードは御世辞にも信頼性が高いとは言えません。
もし、悪意ある第三者に知られたら、なにも知らない訪問者を攻撃できる、
つまりXSS脆弱性となりえます。
そんなわけで、不都合がなければ、以下のパッチでどうかと思うのですが。
--- lib/Wiki.pm.orig Thu Jun 12 11:39:06 2003
+++ lib/Wiki.pm Thu Jun 12 23:30:48 2003
@@ -530,7 +530,7 @@
if($usercss ne ""){
print "<style type=\"text/css\">\n";
print "<!--\n";
- print Util::load_config_text($main::usercss_file);
+ print Util::escapeHTML($usercss);
print "-->\n";
print "</style>\n";
}
#ついでに、Util::load_config_textが2回呼ばれているというbugもfix。
では
--
typer tyepr****@cubic*****
Noboru Katoh typer****@goenn*****
gpg fingerprint = 1915 B6D2 4761 E104 1046 BF4C 8E0C 7FA5 9EC3 7180