saaki さんのトコの blog を読んで、 blosxom にクロスサイトスクリプティングの脆弱性が有ることを知った。
Blosxom にクロスサイトスクリプティングの脆弱性 ( saaki no blog 2008/10/31 )
んで早速対策済の Version 2.1.2 に入れ替えたなりね。
作業上、スクリプトの頭の方にまとめられている設定部分を読んでたわけだが、そこで気付いたのが下記。
...
# Should I encode entities for xml content-types? (plugins can turn this off if they do it themselves)
$encode_xml_entities = 1;
...
これってウチが過去にハマッた、blosxom が自身を xml として処理するときに < とか > とかを展開してしまう動作が、抑制できるのかな? ( エントリ「 IE7 はタコいなあ…」参照 ) もしそうなら嬉しいなあ。
あんときは本体に大きく手を入れるしかないと思ってアキラメタんだけど、同じように考えたヒトがやっぱり居て、実装されたってことなんですかねえ。
まあしかし、ホントにそうなのかまだ検証してないので、おいおいチェックしてみようと思う。
▼ このエントリに対するコメント・トラックバックは……
特設ページ
『半分の月がのぼる空』関連
『半分の月がのぼる空』関連
| 月 | 火 | 水 | 木 | 金 | 土 | 日 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
絶賛賛同中なのだよ。
Stickers...
最近のコメント等……
この blog を検索してみる
Advanced Search
カテゴリで表示してみる
年・月で一覧表示してみる
- 平成21年(2009) (13)
- 平成20年(2008) (31)
- 平成19年(2007) (114)
- 平成18年(2006) (187)
- 平成17年(2005) (276)
- 平成16年(2004) (352)
- 平成15年(2003) (105)