Shintaro Shirai
ytgs2****@tkm*****
2008年 2月 13日 (水) 01:20:10 JST
白井と申します。 初めまして。 perlは全く書けないのですが、表題の件について質問したいと思い投稿いたしま す。 自分の管理するサイトのFswikiのビジターから下記のような趣旨の指摘が来まし た。 ------------------- 前提条件 Fswiki Ver 3.6.2を使用。 attachプラグインを有効。 commentプラグインをTopページ(index.cgi)で使用可能にし http://www.example.jp/foobar.jpg といった投稿をすると、当該サイトから画像を引いて来てFswiki上に表示可能。 ------------------- 指摘の趣旨 ・偽装jpg(悪意あるスクリプト)のURLをコメントされた場合、TOPページを表示 した瞬間にスクリプトを実行されてしまうのではないか? →実例 HDDをフォーマットするブラクラ まとめwiki - トップページ http://www13.atwiki.jp/burakura_hdd/ ------------------- 以前も画像参照をするURLをcommentプラグインから投稿され、TOPページやその 他ページに画像がでかでかと表示されてしまうという事が度々あったため、URL による画像参照を無効にしようと管理画面の設定項目やソースを見ましたがどう にも対処できませんでした。 ------------------- 本投稿の質問 ・現時点での最新版ではこの問題に対処できるのでしょうか? #対処可能ならバージョンアップしようと思います ・http://〜中略〜.jpgのような画像参照を無効化*する設定項目やその他手段は あるのでしょうか? #perlスクリプトの直接書き換えはアップデートに追随しずらくなるのであまりや りたくありません *hを抜いてURLとしての意味を失わせる or そもそも拒否する等々 ------------------- GoogleやFswiki公式サイトで検索をかけてみるなどしてみましたが、どうも目的 に合致する情報が得られませんでした。 探しきれずに、設定を見落としている可能性はありますので無効にする方法があ りましたらご教示いただければ幸いです。 よろしくお願いいたします。 白井 慎太郎<ytgs2****@tkm*****> -----------End of message
Fork