どうか教えて下さい!
| 質問 > フロント機能 > Crawlerとhtml_entity_decodeでXSS |
フロント機能
 |
| スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
| 投稿者 | スレッド |
|---|---|
| rmaki |
投稿日時: 2021/5/26 11:23
対応状況: −−−
|
常連   登録日: 2018/5/17 居住地: 投稿: 34 |
Crawlerとhtml_entity_decodeでXSS ▼テンプレート
[EC-CUBE]3.0.16 [導入プラグインの有無] ContactProduct, NoTransitionCart 上記のプラグインの中で、商品詳細ページにおいて 商品詳細ページをcrawlして、html_entity_decodeして 要素の追加を行っていますが、当サイトではヘッダ部にお客様の 名前を表示しており、こちらにxssのコードを入力すると html_entity_decodeされ有害化されてしまいます。 ①プラグインを通さないと以下のように出力 "><sCRiPt>alert('aa');</sCrIpT> ②プラグイン内で、crawl、html_entity_decodeして要素を追加 ③scriptタグが有効になって出力される "><sCRiPt>alert('aa');</sCrIpT> こちら、無害化するにはどのように対処するものでしょうか。 おそらく、以下のサンプルプラグインを実行すると発生します。 https://github.com/shhirose/eccube3-CrawlerBugTest/blob/master/Event.php ご助言のほど、よろしくおねがいします。 |
| 468 |
投稿日時: 2021/5/29 10:48
対応状況: −−−
|
神   登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: Crawlerとhtml_entity_decodeでXSS >当サイトではヘッダ部にお客様の名前を表示
このお客様の名前を渡している所で、お客様の名前に対してhtmlエスケープを実施すればよいかと思います。 プラグインの仕様を把握できておりませんが プラグインが出力する項目すべてにhtmlエスケープを処理する必要はないのではないでしょうか? (この辺りはサイト管理者の考え方によると思いますが)
|
| スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |
