トップ 差分 一覧 Farm ソース 検索 ヘルプ RSS ログイン

BugTrack-wiki/298

ページの作成や編集にはユーザ登録が必要です。

commentプラグインからプラグインが使えてしまう

  • 投稿者: toy
  • カテゴリ: プラグイン
  • 優先度: 重要
  • 状態: 却下
  • 日時: 2007年03月01日 19時54分06秒

 内容

commentプラグインで名前、コメント欄に書き込むと、プラグインが使えてしまいます。ref, a_img, include_htmlで確認しました。特にinclude_htmlが使えるのは困ります。

 コメント

  • これは仕様ですねぇ…。 - たけぞう (2007年03月03日 22時00分25秒)
  • 仕様ですか…。とりあえずスパム対策で「」を保存を許可しない文字列にして対応してみます。プラグインは存在しません。
  • ↑だと普通のページも保存されないので、編集のたびに解除しないといけないですね。プラグインを使わないか改造するかしかないですか… - toy (2007年03月04日 18時13分44秒)
  • えと、include_htmlはユーザ以上の権限が無いと使えないプラグインなので、ユーザー権限を解放しないことで防げませんか? - R (2007年03月04日 19時06分36秒)

Rさんへ、すいません。どうしたらいいのかよくわかりません

{{include_html ページ名}}

を名前欄かコメント欄に入れるとやはり include_htmlが使えてしまいます。参照するページは参照権限管理者、凍結。commentプラグインを使えるようにしているページは参照権限公開、凍結です。  (2007/3/6 toy)

  • include_htmlはHTMLを書いたソースページをユーザ以上に参照制限しなければならなかったはずです。ソースを書いたページはユーザ以上で見えてしまいますが、ゲストには見えません。又、ソースページを作成できるのもユーザ以上の権限を持たねばなりません。但し、そのソースページが他のページのソースから場所が分ってしまう時が有ります。一般のユーザはそのページをinclude_htmlによって張ることが出来る、そう言うことですよね。使う事は出来ますが、ソースページを作成するのは一般ゲストには出来ないと言いたかったのです。参照権限の解放された通常のページはinclude_htmlを使って貼ろうとすると、”読み込むページの参照権限はユーザ以上か、又は凍結されたページでなければなりません。”と表示され、エラーとなります。 - R (2007年03月06日 21時01分26秒)
  • Rさんへ、わかりました。他のページを貼ることはできても、編集することはできないから大丈夫ってことですね。 - toy (2007年03月07日 16時49分37秒)
  • 仕様とのことなので、状態を却下にしておきます - toy (2007年04月09日 18時45分25秒)
お名前: コメント:

最終更新時間:2007年04月09日 18時45分25秒