バージョン選択

フォーラム

メニュー

オンライン状況

46 人のユーザが現在オンラインです。 (38 人のユーザが フォーラム を参照しています。)
登録ユーザ: 1
ゲスト: 45
ina2 もっと...

サイト内検索

質問 > 管理機能 > コメント記入欄でscriptタグを有効に

管理機能

新規スレッドを追加する

スレッド表示 | 古いものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
seasoft
投稿日時: 2009/3/19 9:37
対応状況: −−−
登録日: 2008/6/4
居住地:
投稿: 7369
Re: コメント記入欄でscriptタグを有効に
なるほど。smarty:nodefaults というのは、それを局所的に無効にする構文なのですね。

多分、/data/class/SC_View.php を変更すると、サイト内全ての項目に適用されるでしょうから、nanasess 様のおっしゃっている通り、XSS などには注意が必要ですね。

個人的には、<input type="hidden" の出力で、キーで if else 分岐させるのが良いのかななど思っています。
それか、表示の側で、逆エスケープしてしまうとか。(少し強引? )


----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

nanasess
投稿日時: 2009/3/19 9:13
対応状況: −−−
登録日: 2006/9/9
居住地:
投稿: 2318
Re: コメント記入欄でscriptタグを有効に
data/class/SC_View.php の 66行目付近, 下記の箇所をコメントアウトしてみてください.


$this->_smarty->default_modifiers = array('script_escape');


これは, data/smarty_extends/modifier.script_escape.php を有効にしている箇所です.

XSS 等の対策のために入れているので, 無効にすると脆弱になる可能性がありますからご注意を.

はずしていたらすみません...
seasoft
投稿日時: 2009/3/19 2:14
対応状況: −−−
登録日: 2008/6/4
居住地:
投稿: 7369
Re: コメント記入欄でscriptタグを有効に
いえいえ。仕事部分との分離の関係でそのようにさせていただいており、あくまで当方の都合ですので。本件に限らず、簡単なことでしたら、分かる範囲(や勘)でお答えさせてさせていただきますし、カスタマイズの要望などは、私にとりましても勉強になります。


----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

Ryoko
投稿日時: 2009/3/19 1:34
対応状況: −−−
半人前
登録日: 2009/3/6
居住地:
投稿: 23
Re: コメント記入欄でscriptタグを有効に
seasoft様、申し訳ありませんでした。
図々しく色々お伺いしてしまいました;;
本当に申し訳ございません。
seasoft
投稿日時: 2009/3/19 1:25
対応状況: −−−
登録日: 2008/6/4
居住地:
投稿: 7369
Re: コメント記入欄でscriptタグを有効に
私どもでは、フォーラムでの無償提供に関しましては、アイディア程度の内容に留めさせていただいておりますのでご了承ください。

個別案件に関しまして具体的な作業を行う場合は有償で承っております。ご入用の折にはご連絡ください。(無償でコーディングを提供される方は、どうか私に遠慮せずに書き込んでくださいね。)


----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

Ryoko
投稿日時: 2009/3/19 1:09
対応状況: −−−
半人前
登録日: 2009/3/6
居住地:
投稿: 23
Re: コメント記入欄でscriptタグを有効に
tonton様、ありがとうございます。
nl2br|を消してみてもやはり症状は同じです。。
確認画面まではscript表示されてますが、
ページビューでは#script tag escaped##script tag escaped#が表示されてしまいます;;
tonton
投稿日時: 2009/3/19 1:01
対応状況: −−−
仙人
登録日: 2008/8/14
居住地:
投稿: 437
Re: コメント記入欄でscriptタグを有効に
nl2br|

これがあるから、だめなんじゃあないでしょうか?

はずしていたら、すみません。
Ryoko
投稿日時: 2009/3/19 0:09
対応状況: −−−
半人前
登録日: 2009/3/6
居住地:
投稿: 23
Re: コメント記入欄でscriptタグを有効に
むむ。。
画面表示用ですか・・・
smarty:nodefaultsを追記する所が間違ってるっぽいのですね。
すみません、どこを触ればいいっぽいかヒントだけでもいただけませんか;;
素人の私には全くわからない状態で・・・
よろしくお願いいたします。
seasoft
投稿日時: 2009/3/18 23:49
対応状況: −−−
登録日: 2008/6/4
居住地:
投稿: 7369
Re: コメント記入欄でscriptタグを有効に
>【confirm.tpl】

これは、画面表示用ですね。

http://xoops.ec-cube.net/modules/newbb/viewtopic.php?viewmode=thread&topic_id=3460&forum=10&post_id=13493#forumpost13493

ソースを確認せずに書いてますので、外していたら本当にゴメンなさい。


----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

Ryoko
投稿日時: 2009/3/18 23:37
対応状況: −−−
半人前
登録日: 2009/3/6
居住地:
投稿: 23
Re: コメント記入欄でscriptタグを有効に
失礼しました。。
下記に記します!

【confirm.tpl】

<!--{* オペビルダー用 *}-->
<!--{if "sfViewAdminOpe"|function_exists === TRUE}-->
<!--{include file=`$smarty.const.MODULE_PATH`mdl_opebuilder/admin_ope_view.tpl}-->
<!--{/if}-->

<!--{section name=cnt loop=$smarty.const.PRODUCTSUB_MAX}-->
<!--▼商品<!--{$smarty.section.cnt.iteration}-->-->
<tr>
<td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブタイトル(<!--{$smarty.section.cnt.iteration}-->)</td>
<td bgcolor="#ffffff" width="557" class="fs12n">
<!--{assign var=key value="sub_title`$smarty.section.cnt.iteration`"}-->
<!--{$arrForm[$key]|escape}-->
</td>
</tr>
<tr>
<td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブコメント(<!--{$smarty.section.cnt.iteration}-->)</td>
<td bgcolor="#ffffff" width="557" class="fs12n">
<!--{assign var=key value="sub_comment`$smarty.section.cnt.iteration`"}-->
<!--{$arrForm[$key]|nl2br|escape|smarty:nodefaults}-->
</td>
</tr>
<tr>
<td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブ画像(<!--{$smarty.section.cnt.iteration}-->)</td>
<td bgcolor="#ffffff" width="557" class="fs12n">
<!--{assign var=key value="sub_image`$smarty.section.cnt.iteration`"}-->
<!--{if $arrFile[$key].filepath != ""}-->
<img src="<!--{$arrFile[$key].filepath}-->" alt="<!--{$arrForm.name|escape}-->" /><br />
<!--{/if}-->
</td>
</tr>
<tr>
<td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブ拡大画像(<!--{$smarty.section.cnt.iteration}-->)</td>
<td bgcolor="#ffffff" width="557" class="fs12n">
<!--{assign var=key value="sub_large_image`$smarty.section.cnt.iteration`"}-->
<!--{if $arrFile[$key].filepath != ""}-->
<img src="<!--{$arrFile[$key].filepath}-->" alt="<!--{$arrForm.name|escape}-->" /><br />
<!--{/if}-->
</td>
</tr>


【product.tpl】

<tr>
<td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブタイトル(<!--{$smarty.section.cnt.iteration}-->)</td>
<!--{assign var=key value="sub_title`$smarty.section.cnt.iteration`"}-->
<td bgcolor="#ffffff" width="557" class="fs12n">
<span class="red12"><!--{$arrErr[$key]}--></span>
<input type="text" name="sub_title<!--{$smarty.section.cnt.iteration}-->" value="<!--{$arrForm[$key]|escape}-->" size="60" class="box60" maxlength="<!--{$smarty.const.STEXT_LEN}-->" style="<!--{$arrErr[$key]|sfGetErrorColor}-->"/><span class="red10"> (上限<!--{$smarty.const.STEXT_LEN}-->文字)</span>
</td>
</tr>
<tr>
<td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブコメント(<!--{$smarty.section.cnt.iteration}-->)<span class="red">(タグ許可)</span></td>
<!--{assign var=key value="sub_comment`$smarty.section.cnt.iteration`"}-->
<td bgcolor="#ffffff" width="557" class="fs10n">
<span class="red12"><!--{$arrErr[$key]}--></span>
<textarea name="sub_comment<!--{$smarty.section.cnt.iteration}-->" cols="60" rows="8" class="area60" maxlength="<!--{$smarty.const.LLTEXT_LEN}-->" style="<!--{$arrErr[$key]|sfGetErrorColor}-->"><!--{$arrForm[$key]|escape|smarty:nodefaults}--></textarea><br /><span class="red10"> (上限<!--{$smarty.const.LLTEXT_LEN}-->文字)</span></td>
</tr>
<tr>
<!--{assign var=key value="sub_image`$smarty.section.cnt.iteration`"}-->
<td bgcolor="#f2f1ec" width="160" class="fs12n">詳細-サブ画像(<!--{$smarty.section.cnt.iteration}-->)<br />[<!--{$smarty.const.NORMAL_SUBIMAGE_WIDTH}-->×<!--{$smarty.const.NORMAL_SUBIMAGE_HEIGHT}-->]</td>
<td bgcolor="#ffffff" width="557" class="fs12n">
<a name="<!--{$key}-->"></a>
<!--{assign var=largekey value="sub_large_image`$smarty.section.cnt.iteration`"}-->
<a name="<!--{$largekey}-->"></a>
<span class="red12"><!--{$arrErr[$key]}--></span>
<!--{if $arrFile[$key].filepath != ""}-->
<img src="<!--{$arrFile[$key].filepath}-->" alt="<!--{$arrForm.name|escape}-->" /> <a href="" onclick="selectAll('category_id'); fnModeSubmit('delete_image', 'image_key', '<!--{$key}-->'); return false;">[画像の取り消し]</a><br>
<!--{/if}-->
<input type="file" name="<!--{$key}-->" size="50" class="box50" style="<!--{$arrErr[$key]|sfGetErrorColor}-->"/>
<input type="button" name="btn" onclick="selectAll('category_id'); fnModeSubmit('upload_image', 'image_key', '<!--{$key}-->')" value="アップロード">
</td>
</tr>

【detail.tpl】

<!--▼サブコメントここから-->
<!--{section name=cnt loop=$smarty.const.PRODUCTSUB_MAX}-->
<!--{assign var=key value="sub_title`$smarty.section.cnt.iteration`"}-->
<!--{if $arrProduct[$key] != ""}-->
<div class="subarea">
<h3><!--★サブタイトル★--><!--{$arrProduct[$key]|escape}--></h3>
<!--{assign var=ckey value="sub_comment`$smarty.section.cnt.iteration`"}-->

<!--拡大写真がある場合ここから-->
<!--{assign var=key value="sub_image`$smarty.section.cnt.iteration`"}-->
<!--{assign var=lkey value="sub_large_image`$smarty.section.cnt.iteration`"}-->
<!--{if $arrFile[$key].filepath != ""}-->
<div class="subtext"><!--★サブテキスト★--><!--{$arrProduct[$ckey]|escape|smarty:nodefaults}--></div>
<div class="subphotoimg">
<!--{if $arrFile[$lkey].filepath != ""}-->
<a href="<!--{$smarty.server.PHP_SELF|escape}-->" onclick="win01('./detail_image.php?product_id=<!--{$arrProduct.product_id}-->&image=<!--{$lkey}--><!--{if $smarty.get.admin == 'on'}-->&admin=on<!--{/if}-->','detail_image','<!--{$arrFile[$lkey].width+60}-->','<!--{$arrFile[$lkey].height+80}-->'); return false;" target="_blank">
<!--{/if}-->
<!--サブ画像-->
<img src="<!--{$arrFile[$key].filepath}-->" alt="<!--{$arrProduct.name|escape}-->" width="<!--{$smarty.const.NORMAL_SUBIMAGE_WIDTH}-->" height="<!--{$smarty.const.NORMAL_SUBIMAGE_WIDTH}-->" />
<!--{if $arrFile[$lkey].filepath != ""}-->
</a>
<p>
<a href="<!--{$smarty.server.PHP_SELF|escape}-->"
onclick="win01('./detail_image.php?product_id=<!--{$arrProduct.product_id}-->&image=<!--{$lkey}--><!--{if $smarty.get.admin == 'on'}-->&admin=on<!--{/if}-->','detail_image','<!--{$arrFile[$lkey].width+60}-->','<!--{$arrFile[$lkey].height+80}-->'); return false;"
onmouseover="chgImg('<!--{$TPL_DIR}-->img/products/b_expansion_on.gif','expansion02');"
onmouseout="chgImg('<!--{$TPL_DIR}-->img/products/b_expansion.gif','expansion02');" target="_blank">
<img src="<!--{$TPL_DIR}-->img/products/b_expansion.gif" width="85" height="13" alt="画像を拡大する" />
</a>
</p>
<!--{/if}-->
</div>
<!--拡大写真がある場合ここまで-->
<!--{else}-->
<p><!--★サブテキスト★--><!--{$arrProduct[$ckey]|escape|smarty:nodefaults}--></p>
<!--{/if}-->
</div>


こんな感じでしょうか。。

(1) 2 »
スレッド表示 | 古いものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は93,681名です
総投稿数は111,076件です

投稿数ランキング

1
seasoft
7369
2
468
3217
3
AMUAMU
2712
4
nanasess
2318
5
umebius
2085
6
yuh
1857
7
h_tanaka
1756
8
red
1574
9
mcontact
1466
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
804
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.