Kazuhiko
kazuh****@fdiar*****
2005年 7月 4日 (月) 11:08:10 JST
かずひこです。
At Sun, 03 Jul 2005 16:49:41 +0900 (JST),
Kouhei Sutou wrote:
> プラグイン呼び出し中にエラーが発生した場合に表示されるメッセー
> ジ中でエスケープ洩れがあって,HTML中にタグ用途以外の<や>が現
> れてしまっています.
ご指摘ありがとうございます。悪意のある書き込みによる XSS 脆弱性になるかと
思って焦りましたが、そうじゃなさそうでほっとしました。
> module Util
> def plugin_error( method, e )
> - msg = "<strong>#{e.class}(#{e.message}): #{method.escapeHTML}</strong><br>"
> + e_msg = e.message
> + e_msg = e_msg.escapeHTML unless e.is_a?(PluginException)
> + msg = "<strong>#{e.class}(#{e_msg}): #{method.escapeHTML}</strong><br>"
> msg << "<strong>#{e.backtrace.join("<br>\n")}</strong>" if****@conf*****_debug
> msg
> end
PluginException な例外でここが呼ばれることはないので、単純にエスケープす
るだけにしてコミットしました。
# backtrace もエスケープしたほうがいいのかな?
--
かずひこ <http://wiki.fdiary.net/kazuhiko/>
「恋とハックはアジャイルが命!」