acliss19xx
acliss

Re: 機能拡張フォームのconcrete5-5.4.2への対応について

2011年9月13日 at 12:01

auto.jsの修正お願いします。

211~212行 is("checked") ----> is(':checked')
217~222行 is("checked") ----> is(':checked')
325~330行 is('checked','') ----> attr('checked',false)
331~336行 is('checked',true) ----> attr('checked',true)
338~339行 is('checked',false) ----> attr('checked',false)
341~342行 is('checked',true) ----> attr('checked',true)

2.4.1を見ました。
XSSはどの状況で発生ですか?ソースはどこを変更しました?
また都合のいいときに教えてください。

返信
tomoac
tomoac

Re: Re: 機能拡張フォームのconcrete5-5.4.2への対応について

2011年9月13日 at 18:07
2.4.2をリリースしました。

修正を間違えていたようですね。失礼しました。

XSS対策は、controls.php の285-298, 354-358 に、htmlspecialcahr()を追加しました。
メールで対策要望がありました。
返信
 
acliss19xx
acliss

Re: Re: Re: 機能拡張フォームのconcrete5-5.4.2への対応について

2011年9月13日 at 18:10
具体的にどのような入力があったときにXSSが発生したのか教えていただけませんか?
返信
 
tomoac
tomoac

Re: Re: Re: Re: 機能拡張フォームのconcrete5-5.4.2への対応について

2011年9月13日 at 18:17
XSSというより、" を入力したらおかしくなるとの指摘です。

タグの間に、value="" が、value=""" になって、表示がおかしくなることが確認できましたので、
返信
 
acliss19xx
acliss

Re: 機能拡張フォームのconcrete5-5.4.2への対応について

2011年9月13日 at 23:34
""ですか・・・・。チェック漏れてました。
phpコードやjavascriptはチェックしたのですが、すみません。

コードに関してですが標準のフォームブロックは
view側でstripslashes(htmlspecialchars($val))で処理してます。
エラーメッセージがでる設定ですが標準に合わす形で処理されてはどうでしょうか?
返信
 
tomoac
tomoac

Re: Re: 機能拡張フォームのconcrete5-5.4.2への対応について

2011年9月14日 at 8:58
エラーチェックは、もともとcontrollerのあの付近にあったので、追加する形で今に至っています。
viewで処理するということは、エラーチェックを全部viewに移すということでしょうか?
返信
 
acliss19xx
acliss

Re: Re: Re: 機能拡張フォームのconcrete5-5.4.2への対応について

2011年9月18日 at 15:37
標準のフォームブロックでは特殊文字はエラー処理ではなく、エスケープ処理しています。ですのでエスケープしたほうがいいと思ったのですがそれも問題があることが分かりましたので撤回します。すみません。
返信