プロジェクト

全般

プロフィール

Backport(バックポート) #1962

SNS名称変更で入力した値がエスケープされていない

Masato Nagasawa約13年前に追加. 12年以上前に更新.

ステータス:
Fixed(完了)
優先度:
Normal(通常)
担当者:
Mutsumi Imamura
対象バージョン:
OpenPNE 3.4.16
開始日:
2010-10-01
期日:
2011-10-05
進捗率:

100%

説明

■バグ概要

SNS名称変更(pc_backend.php/sns/term)で入力した値がエスケープされていないため、pc_frontendの表示が崩れる

■再現手順

1)SNS名称変更(pc_backend.php/sns/term)を表示
2)アクティビティ(pc)に<script>alert("alert");</script>を入力して、編集ボタンを押す
3)pc_frontendのマイホームを表示し、スクリプトが動作する事を確認

■環境

OS: Mac OSX
ブラウザ: Firefox3

■仕様

入力した文字がエスケープされる

関連するチケット

関連している OpenPNE 3 - Bug(バグ) #1635: SNS名称変更で入力した値がエスケープされていない Fixed(完了) 2010-10-01

関係しているリビジョン

リビジョン 7c309886 (差分)
Itsuro Tajima12年以上前に追加

(fixes #1962, BP from #1635) fixed term output with escape

履歴

#1 Shinichi Urabe約13年前に更新

  • ステータスNew(新規) から Invalid(無効) に変更

安定版での取り込みは難しいため、却下

難しいポイント

  • エスケープ処理はテンプレート表示時に実施する必要があるため、表示手前のタイミングで共通処理でエスケープすることが難しい
  • 修正範囲が大きくなる可能性がある

#2 Minoru Takaiほぼ13年前に更新

  • ステータスInvalid(無効) から New(新規) に変更
  • 対象バージョンOpenPNE 3.4.11 から OpenPNE 3.4.15 に変更

note-1 で 3.4 に対するバックポートを却下している理由がよく分かりません。現時点で親チケットは 3d4cf4d5 の修正を以てレビュー待ちとなっています(チケットに説明を求められるという理由で差し戻しとなっていますが)。

この修正内容で親チケットが完了となれば、note-1 で言及されている「安定版での取り込みは難しい」という判断は不適切なように思います。親チケットが完了次第、再検討してください。

#3 Mutsumi Imamura12年以上前に更新

  • 対象バージョンOpenPNE 3.4.15 から OpenPNE 3.4.16 に変更

親チケットの対応が完了していませんので、次バージョンへ対応を持ち越します

#4 Shinichi Urabe12年以上前に更新

  • 期日2011-10-05 にセット
  • 担当者Itsuro Tajima から Mutsumi Imamura に変更

#5 Itsuro Tajima12年以上前に更新

  • ステータスNew(新規) から Pending Review(レビュー待ち) に変更
  • 進捗率0 から 50 に変更

更新履歴 7c3098867860a67c7dcc3f2df1131250d20cf9e8 で適用されました。

#6 Shinichi Urabe12年以上前に更新

  • ステータスPending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
  • 進捗率50 から 70 に変更

修正内容確認しました

#7 Yuma Sakata12年以上前に更新

  • ステータスPending Testing(テスト待ち) から Fixed(完了) に変更
  • 進捗率70 から 100 に変更

テストOKです。

他の形式にエクスポート: Atom PDF