前の日 / 次の日 / 最新

WinChalow

2005 : Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
2004 : Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec

2004-05-19 Wed

tb.cgi の sanitization


tb-standalone v.1.02 を使ったトラックバックのXSS対策として、表示文字列をCGI::escapeHTMLしてみました。

63,65c63,65
< $item->{url}, Jcode->new($item->{title})->euc,
< Jcode->new($item->{blog_name})->euc || "[No blog name]",
< Jcode->new($item->{excerpt})->euc || "[No excerpt]",
---
> $item->{url}, CGI::escapeHTML(Jcode->new($item->{title})->euc),
> CGI::escapeHTML(Jcode->new($item->{blog_name})->euc) || "[No blog
name]",
> CGI::escapeHTML(Jcode->new($item->{excerpt})->euc) || "[No excerpt
]",
[http://blog.bulknews.net/mt/archives/000383.html]
[http://nais.to/~yto/clog/2003-09-25.html]

2004-05 / 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31