プロジェクト

全般

プロフィール

操作
リンクをコピー

Backport(バックポート) #1962

完了

SNS名称変更で入力した値がエスケープされていない

Masato Nagasawa さんが13年以上前に追加. 約13年前に更新.

ステータス:
Fixed(完了)
優先度:
Normal(通常)
担当者:
Mutsumi Imamura
対象バージョン:
OpenPNE 3.4.16
開始日:
2010-10-01
期日:
2011-10-05
進捗率:

100%

予定工数:

説明

■バグ概要

SNS名称変更(pc_backend.php/sns/term)で入力した値がエスケープされていないため、pc_frontendの表示が崩れる

■再現手順

1)SNS名称変更(pc_backend.php/sns/term)を表示
2)アクティビティ(pc)に<script>alert("alert");</script>を入力して、編集ボタンを押す
3)pc_frontendのマイホームを表示し、スクリプトが動作する事を確認

■環境

OS: Mac OSX
ブラウザ: Firefox3

■仕様

入力した文字がエスケープされる

関連するチケット 1 (0件未完了1件完了)

関連している OpenPNE 3 - Bug(バグ) #1635: SNS名称変更で入力した値がエスケープされていないFixed(完了)Itsuro Tajima2010-10-01

操作
操作
リンクをコピー
 #1

Shinichi Urabe さんが13年以上前に更新

  • ステータスNew(新規) から Invalid(無効) に変更

安定版での取り込みは難しいため、却下

難しいポイント

  • エスケープ処理はテンプレート表示時に実施する必要があるため、表示手前のタイミングで共通処理でエスケープすることが難しい
  • 修正範囲が大きくなる可能性がある
操作
リンクをコピー
 #2

Minoru Takai さんが13年以上前に更新

  • ステータスInvalid(無効) から New(新規) に変更
  • 対象バージョンOpenPNE 3.4.11 から OpenPNE 3.4.15 に変更

note-1 で 3.4 に対するバックポートを却下している理由がよく分かりません。現時点で親チケットは 3d4cf4d5 の修正を以てレビュー待ちとなっています(チケットに説明を求められるという理由で差し戻しとなっていますが)。

この修正内容で親チケットが完了となれば、note-1 で言及されている「安定版での取り込みは難しい」という判断は不適切なように思います。親チケットが完了次第、再検討してください。

操作
リンクをコピー
 #3

Mutsumi Imamura さんが13年以上前に更新

  • 対象バージョンOpenPNE 3.4.15 から OpenPNE 3.4.16 に変更

親チケットの対応が完了していませんので、次バージョンへ対応を持ち越します

操作
リンクをコピー
 #4

Shinichi Urabe さんが約13年前に更新

  • 期日2011-10-05 にセット
  • 担当者Itsuro Tajima から Mutsumi Imamura に変更
操作
リンクをコピー
 #5

Itsuro Tajima さんが約13年前に更新

  • ステータスNew(新規) から Pending Review(レビュー待ち) に変更
  • 進捗率0 から 50 に変更

更新履歴 7c3098867860a67c7dcc3f2df1131250d20cf9e8 で適用されました。

操作
リンクをコピー
 #6

Shinichi Urabe さんが約13年前に更新

  • ステータスPending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
  • 進捗率50 から 70 に変更

修正内容確認しました

操作
リンクをコピー
 #7

Yuma Sakata さんが約13年前に更新

  • ステータスPending Testing(テスト待ち) から Fixed(完了) に変更
  • 進捗率70 から 100 に変更

テストOKです。

操作
リンクをコピー

他の形式にエクスポート: Atom PDF