*アンカープラグイン(aname.inc.php)にname属性もつけてほしい。 [#va717945]
*ls2 プラグインにおける XSS 脆弱性 [#v048936e]

-ページ: BugTrack
-投稿者: [[みこ]]
-優先順位: 普通
-投稿者: [[kak]]
-優先順位: 重要
-状態: 提案
-カテゴリー: 本体バグ
-投稿日: 2004-08-11 (水) 20:44:31
-投稿日: 2004-08-12 (木) 02:41:49
-バージョン: 1.4.3

**メッセージ [#n3f05fa5]
 アンカーが id なのはXHTML1.1 Validではないかとおもっていたのですが、最新のドラフトを読むとName Identificationモジュールとなっており「推奨しない」だけのようです。
**メッセージ [#n9bc1a38]
ls2 プラグインに XSS 脆弱性が存在します。
 #ls2(,link,</a></p><i>XSS</i>)
#ls2(,link,</a></p><i>XSS</i>)
のようになります。
 	array_walk($args, 'ls2_check_arg', &$params);
 	$title = (count($params['_args']) > 0) ?
 -		join(',', $params['_args']) :
 +		strip_tags(join(',', $params['_args'])) :
 		str_replace('$1',htmlspecialchars($prefix),$_ls2_msg_title);

 そこで、下位互換性のために(特に<a id="xxxx" が判別できないブラウザや携帯のために)<a id="xxxx" name="xxxx" と記述してもらえませんか?(id と name が同じ名前ならばVaildのようなので)
----

#comment


トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Site admin: PukiWiki Development Team

PukiWiki 1.5.4+ © 2001-2022 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.062 sec.

OSDN