質問 > フロント機能 > Crawlerとhtml_entity_decodeでXSS |
フロント機能
フラット表示 | 前のトピック | 次のトピック |
投稿者 | スレッド |
---|---|
rmaki |
投稿日時: 2021/5/26 11:23
対応状況: −−−
|
常連 登録日: 2018/5/17 居住地: 投稿: 34 |
Crawlerとhtml_entity_decodeでXSS ▼テンプレート
[EC-CUBE]3.0.16 [導入プラグインの有無] ContactProduct, NoTransitionCart 上記のプラグインの中で、商品詳細ページにおいて 商品詳細ページをcrawlして、html_entity_decodeして 要素の追加を行っていますが、当サイトではヘッダ部にお客様の 名前を表示しており、こちらにxssのコードを入力すると html_entity_decodeされ有害化されてしまいます。 ①プラグインを通さないと以下のように出力 "><sCRiPt>alert('aa');</sCrIpT> ②プラグイン内で、crawl、html_entity_decodeして要素を追加 ③scriptタグが有効になって出力される "><sCRiPt>alert('aa');</sCrIpT> こちら、無害化するにはどのように対処するものでしょうか。 おそらく、以下のサンプルプラグインを実行すると発生します。 https://github.com/shhirose/eccube3-CrawlerBugTest/blob/master/Event.php ご助言のほど、よろしくおねがいします。 |
フラット表示 | 前のトピック | 次のトピック |
題名 | 投稿者 | 日時 |
---|---|---|
» Crawlerとhtml_entity_decodeでXSS | rmaki | 2021/5/26 11:23 |
Re: Crawlerとhtml_entity_decodeでXSS | 468 | 2021/5/29 10:48 |