saaki さんのトコの blog を読んで、 blosxom にクロスサイトスクリプティングの脆弱性が有ることを知った。
Blosxom にクロスサイトスクリプティングの脆弱性 ( saaki no blog 2008/10/31 )
んで早速対策済の Version 2.1.2 に入れ替えたなりね。
作業上、スクリプトの頭の方にまとめられている設定部分を読んでたわけだが、そこで気付いたのが下記。
...
# Should I encode entities for xml content-types? (plugins can turn this off if they do it themselves)
$encode_xml_entities = 1;
...
これってウチが過去にハマッた、blosxom が自身を xml として処理するときに < とか > とかを展開してしまう動作が、抑制できるのかな? ( エントリ「 IE7 はタコいなあ…」参照 ) もしそうなら嬉しいなあ。
あんときは本体に大きく手を入れるしかないと思ってアキラメタんだけど、同じように考えたヒトがやっぱり居て、実装されたってことなんですかねえ。
まあしかし、ホントにそうなのかまだ検証してないので、おいおいチェックしてみようと思う。
□ このエントリに対するコメント・トラックバックは...
□ コメントをお願いします...
□ トラックバック URL ...
□ 通常表示に戻る