質問 > 管理機能 > コメント記入欄でscriptタグを有効に |
管理機能
スレッド表示 | 古いものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
seasoft |
投稿日時: 2009/3/19 9:37
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7369 |
Re: コメント記入欄でscriptタグを有効に なるほど。smarty:nodefaults というのは、それを局所的に無効にする構文なのですね。
多分、/data/class/SC_View.php を変更すると、サイト内全ての項目に適用されるでしょうから、nanasess 様のおっしゃっている通り、XSS などには注意が必要ですね。 個人的には、<input type="hidden" の出力で、キーで if else 分岐させるのが良いのかななど思っています。 それか、表示の側で、逆エスケープしてしまうとか。(少し強引? )
|
nanasess |
投稿日時: 2009/3/19 9:13
対応状況: −−−
|
神 登録日: 2006/9/9 居住地: 投稿: 2318 |
Re: コメント記入欄でscriptタグを有効に data/class/SC_View.php の 66行目付近, 下記の箇所をコメントアウトしてみてください.
これは, data/smarty_extends/modifier.script_escape.php を有効にしている箇所です. XSS 等の対策のために入れているので, 無効にすると脆弱になる可能性がありますからご注意を. はずしていたらすみません... |
seasoft |
投稿日時: 2009/3/19 2:14
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7369 |
Re: コメント記入欄でscriptタグを有効に いえいえ。仕事部分との分離の関係でそのようにさせていただいており、あくまで当方の都合ですので。本件に限らず、簡単なことでしたら、分かる範囲(や勘)でお答えさせてさせていただきますし、カスタマイズの要望などは、私にとりましても勉強になります。
|
Ryoko |
投稿日時: 2009/3/19 1:34
対応状況: −−−
|
半人前 登録日: 2009/3/6 居住地: 投稿: 23 |
Re: コメント記入欄でscriptタグを有効に seasoft様、申し訳ありませんでした。
図々しく色々お伺いしてしまいました;; 本当に申し訳ございません。 |
seasoft |
投稿日時: 2009/3/19 1:25
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7369 |
Re: コメント記入欄でscriptタグを有効に 私どもでは、フォーラムでの無償提供に関しましては、アイディア程度の内容に留めさせていただいておりますのでご了承ください。
個別案件に関しまして具体的な作業を行う場合は有償で承っております。ご入用の折にはご連絡ください。(無償でコーディングを提供される方は、どうか私に遠慮せずに書き込んでくださいね。)
|
Ryoko |
投稿日時: 2009/3/19 1:09
対応状況: −−−
|
半人前 登録日: 2009/3/6 居住地: 投稿: 23 |
Re: コメント記入欄でscriptタグを有効に tonton様、ありがとうございます。
nl2br|を消してみてもやはり症状は同じです。。 確認画面まではscript表示されてますが、 ページビューでは#script tag escaped##script tag escaped#が表示されてしまいます;; |
tonton |
投稿日時: 2009/3/19 1:01
対応状況: −−−
|
仙人 登録日: 2008/8/14 居住地: 投稿: 437 |
Re: コメント記入欄でscriptタグを有効に nl2br|
これがあるから、だめなんじゃあないでしょうか? はずしていたら、すみません。 |
Ryoko |
投稿日時: 2009/3/19 0:09
対応状況: −−−
|
半人前 登録日: 2009/3/6 居住地: 投稿: 23 |
Re: コメント記入欄でscriptタグを有効に むむ。。
画面表示用ですか・・・ smarty:nodefaultsを追記する所が間違ってるっぽいのですね。 すみません、どこを触ればいいっぽいかヒントだけでもいただけませんか;; 素人の私には全くわからない状態で・・・ よろしくお願いいたします。 |
seasoft |
投稿日時: 2009/3/18 23:49
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7369 |
Re: コメント記入欄でscriptタグを有効に >【confirm.tpl】
これは、画面表示用ですね。 http://xoops.ec-cube.net/modules/newbb/viewtopic.php?viewmode=thread&topic_id=3460&forum=10&post_id=13493#forumpost13493 ソースを確認せずに書いてますので、外していたら本当にゴメンなさい。
|
Ryoko |
投稿日時: 2009/3/18 23:37
対応状況: −−−
|
半人前 登録日: 2009/3/6 居住地: 投稿: 23 |
Re: コメント記入欄でscriptタグを有効に 失礼しました。。
下記に記します! 【confirm.tpl】 <!--{* オペビルダー用 *}--> <!--{if "sfViewAdminOpe"|function_exists === TRUE}--> <!--{include file=`$smarty.const.MODULE_PATH`mdl_opebuilder/admin_ope_view.tpl}--> <!--{/if}--> <!--{section name=cnt loop=$smarty.const.PRODUCTSUB_MAX}--> <!--▼商品<!--{$smarty.section.cnt.iteration}-->--> <tr> <td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブタイトル(<!--{$smarty.section.cnt.iteration}-->)</td> <td bgcolor="#ffffff" width="557" class="fs12n"> <!--{assign var=key value="sub_title`$smarty.section.cnt.iteration`"}--> <!--{$arrForm[$key]|escape}--> </td> </tr> <tr> <td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブコメント(<!--{$smarty.section.cnt.iteration}-->)</td> <td bgcolor="#ffffff" width="557" class="fs12n"> <!--{assign var=key value="sub_comment`$smarty.section.cnt.iteration`"}--> <!--{$arrForm[$key]|nl2br|escape|smarty:nodefaults}--> </td> </tr> <tr> <td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブ画像(<!--{$smarty.section.cnt.iteration}-->)</td> <td bgcolor="#ffffff" width="557" class="fs12n"> <!--{assign var=key value="sub_image`$smarty.section.cnt.iteration`"}--> <!--{if $arrFile[$key].filepath != ""}--> <img src="<!--{$arrFile[$key].filepath}-->" alt="<!--{$arrForm.name|escape}-->" /><br /> <!--{/if}--> </td> </tr> <tr> <td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブ拡大画像(<!--{$smarty.section.cnt.iteration}-->)</td> <td bgcolor="#ffffff" width="557" class="fs12n"> <!--{assign var=key value="sub_large_image`$smarty.section.cnt.iteration`"}--> <!--{if $arrFile[$key].filepath != ""}--> <img src="<!--{$arrFile[$key].filepath}-->" alt="<!--{$arrForm.name|escape}-->" /><br /> <!--{/if}--> </td> </tr> 【product.tpl】 <tr> <td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブタイトル(<!--{$smarty.section.cnt.iteration}-->)</td> <!--{assign var=key value="sub_title`$smarty.section.cnt.iteration`"}--> <td bgcolor="#ffffff" width="557" class="fs12n"> <span class="red12"><!--{$arrErr[$key]}--></span> <input type="text" name="sub_title<!--{$smarty.section.cnt.iteration}-->" value="<!--{$arrForm[$key]|escape}-->" size="60" class="box60" maxlength="<!--{$smarty.const.STEXT_LEN}-->" style="<!--{$arrErr[$key]|sfGetErrorColor}-->"/><span class="red10"> (上限<!--{$smarty.const.STEXT_LEN}-->文字)</span> </td> </tr> <tr> <td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブコメント(<!--{$smarty.section.cnt.iteration}-->)<span class="red">(タグ許可)</span></td> <!--{assign var=key value="sub_comment`$smarty.section.cnt.iteration`"}--> <td bgcolor="#ffffff" width="557" class="fs10n"> <span class="red12"><!--{$arrErr[$key]}--></span> <textarea name="sub_comment<!--{$smarty.section.cnt.iteration}-->" cols="60" rows="8" class="area60" maxlength="<!--{$smarty.const.LLTEXT_LEN}-->" style="<!--{$arrErr[$key]|sfGetErrorColor}-->"><!--{$arrForm[$key]|escape|smarty:nodefaults}--></textarea><br /><span class="red10"> (上限<!--{$smarty.const.LLTEXT_LEN}-->文字)</span></td> </tr> <tr> <!--{assign var=key value="sub_image`$smarty.section.cnt.iteration`"}--> <td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブ画像(<!--{$smarty.section.cnt.iteration}-->)<br />[<!--{$smarty.const.NORMAL_SUBIMAGE_WIDTH}-->×<!--{$smarty.const.NORMAL_SUBIMAGE_HEIGHT}-->]</td> <td bgcolor="#ffffff" width="557" class="fs12n"> <a name="<!--{$key}-->"></a> <!--{assign var=largekey value="sub_large_image`$smarty.section.cnt.iteration`"}--> <a name="<!--{$largekey}-->"></a> <span class="red12"><!--{$arrErr[$key]}--></span> <!--{if $arrFile[$key].filepath != ""}--> <img src="<!--{$arrFile[$key].filepath}-->" alt="<!--{$arrForm.name|escape}-->" /> <a href="" onclick="selectAll('category_id'); fnModeSubmit('delete_image', 'image_key', '<!--{$key}-->'); return false;">[画像の取り消し]</a><br> <!--{/if}--> <input type="file" name="<!--{$key}-->" size="50" class="box50" style="<!--{$arrErr[$key]|sfGetErrorColor}-->"/> <input type="button" name="btn" onclick="selectAll('category_id'); fnModeSubmit('upload_image', 'image_key', '<!--{$key}-->')" value="アップロード"> </td> </tr> 【detail.tpl】 <!--▼サブコメントここから--> <!--{section name=cnt loop=$smarty.const.PRODUCTSUB_MAX}--> <!--{assign var=key value="sub_title`$smarty.section.cnt.iteration`"}--> <!--{if $arrProduct[$key] != ""}--> <div class="subarea"> <h3><!--★サブタイトル★--><!--{$arrProduct[$key]|escape}--></h3> <!--{assign var=ckey value="sub_comment`$smarty.section.cnt.iteration`"}--> <!--拡大写真がある場合ここから--> <!--{assign var=key value="sub_image`$smarty.section.cnt.iteration`"}--> <!--{assign var=lkey value="sub_large_image`$smarty.section.cnt.iteration`"}--> <!--{if $arrFile[$key].filepath != ""}--> <div class="subtext"><!--★サブテキスト★--><!--{$arrProduct[$ckey]|escape|smarty:nodefaults}--></div> <div class="subphotoimg"> <!--{if $arrFile[$lkey].filepath != ""}--> <a href="<!--{$smarty.server.PHP_SELF|escape}-->" onclick="win01('./detail_image.php?product_id=<!--{$arrProduct.product_id}-->&image=<!--{$lkey}--><!--{if $smarty.get.admin == 'on'}-->&admin=on<!--{/if}-->','detail_image','<!--{$arrFile[$lkey].width+60}-->','<!--{$arrFile[$lkey].height+80}-->'); return false;" target="_blank"> <!--{/if}--> <!--サブ画像--> <img src="<!--{$arrFile[$key].filepath}-->" alt="<!--{$arrProduct.name|escape}-->" width="<!--{$smarty.const.NORMAL_SUBIMAGE_WIDTH}-->" height="<!--{$smarty.const.NORMAL_SUBIMAGE_WIDTH}-->" /> <!--{if $arrFile[$lkey].filepath != ""}--> </a> <p> <a href="<!--{$smarty.server.PHP_SELF|escape}-->" onclick="win01('./detail_image.php?product_id=<!--{$arrProduct.product_id}-->&image=<!--{$lkey}--><!--{if $smarty.get.admin == 'on'}-->&admin=on<!--{/if}-->','detail_image','<!--{$arrFile[$lkey].width+60}-->','<!--{$arrFile[$lkey].height+80}-->'); return false;" onmouseover="chgImg('<!--{$TPL_DIR}-->img/products/b_expansion_on.gif','expansion02');" onmouseout="chgImg('<!--{$TPL_DIR}-->img/products/b_expansion.gif','expansion02');" target="_blank"> <img src="<!--{$TPL_DIR}-->img/products/b_expansion.gif" width="85" height="13" alt="画像を拡大する" /> </a> </p> <!--{/if}--> </div> <!--拡大写真がある場合ここまで--> <!--{else}--> <p><!--★サブテキスト★--><!--{$arrProduct[$ckey]|escape|smarty:nodefaults}--></p> <!--{/if}--> </div> こんな感じでしょうか。。 |
(1) 2 » |
スレッド表示 | 古いものから | 前のトピック | 次のトピック | トップ |