OpenPNE 3

現象¶

1. 自分が管理者であるコミュニティページ(/community/:id)にアクセスする
2. メンバー管理ページ(/community/member/manage?id=:id)にアクセスする
3. メンバー管理画面に戻るためのYes/Noフォームがあるページへ遷移する
   • 副管理者に対する「副管理者から降格」リンクから遷移できるページ (/community/removeSubAdmin/id/1/member_id/2) あるいは、
   • コミュニティメンバーに対する「退会させる」リンクから遷移できるページ (/community/removeSubAdmin/id/1/member_id/2) のどちらでもよい。
4. メンバー管理画面に戻るための「いいえ」ボタンを押下する
5. /default/error エラーページへ遷移する

原因¶

#1004 での 修正 によって、以下のルーティングが指定されており、

community_memberManage:
  url: /community/member/manage
  param: { module: community, action: memberManage }

このルーティングにマッチした上で、クエリストリングとしてパラメータを含めようとする。 /community/member/manage?id=1 のようなURLとなる。

GET method のフォームに対して action 属性値に ?id=xxx の形のクエリストリングが付与されたURLを渡すと、action 属性値のパラメータを無視する実装のUAが多いらしい。 関連記事（「form action クエリ」や「form action querystring」で検索すると記事がいくつか見つかる） [1] [2]

上記のルーティングが定義されていない場合は lib/routing/opSymfonyDefaultRouteCollection.class.php で

    $this->routes['default'] = new opDeprecatedRoute(
      '/:module/:action/*'
    );

のように定義されているルーティングにマッチし、 /community/memberManage/id/123 のようなURLとなり、パラメータが渡っていたため想定通りに動作していた。

修正内容¶

PC版、携帯版ともに、ルーティングの定義を

community_memberManage:
  url: /community/member/manage
  param: { module: community, action: memberManage }

から、id パラメータを含めた形

community_memberManage:
  url: /community/member/manage/:id
  param: { module: community, action: memberManage }
  requirements: { id: \d+ }

に変更する。

当該のYes/Noフォームにおいて、action 属性値に含まれるクエリストリングを input 要素などを介して渡すことでこの問題を回避することも可能だが、本質的な解決策ではない。

補足¶

この問題は #1004 での修正における書き換え時のミスだと思われる。

• id を付加する必要性について
  • community/memberManage アクションは、特定の id のコミュニティのメンバー管理画面を表示するためのアクションである。つまり id を受け取ることを前提としている。
    • lib/action/opCommunityAction.class.php の preExecute() メソッドおよび executeMemberManage($request) を見れば明らかである。
• ルーティング定義を変更してしまうことによる副作用はないか
  • id を受け取らない community/memberManage の呼び出しは前述のとおり想定されていないため、もしそのようなリンクがあったとしてもエラーページに飛ばされるだけである。
  • community/memberManage アクションを指すURL /community/member/manage （idを含まないURL）が無くなっても問題はないと判断している。