展示ルームの変更 V03RC10
展示ルームですが、最近チョコチョコ変更を入れています。
投票システムを展示ルームのソースから流用して作りつつあるのですが、ちょっと前ならOKだったようなやり方に攻撃方法が見つかって駄目になってたり、このチェックだけではすり抜けたりと、なんだかんだとありまして、コピペしてさっさと作るという目論見は崩れております。
また文法チェッカというものを当時は使っておりませんで、間違いまくりだったりでして、それも直しています。
結局のところ、展示ルームからコピペというより、投票システム開発から、展示ルームにバックポートしてるような状態です。
本日の影響箇所
1.全般的
JavaScriptを組み込が可能な事からXSSの可能性があるためにあるサーバ変数を別のものに変更。
置換ツール使って全体的に変えましたが、デグレる可能性は殆どありません。
2.ログイン、ログアウト、ユーザ登録、ユーザ登録OK、ユーザ編集、ユーザ削除、ユーザ編集OK、ユーザ削除OK、個人データ参照、シリーズデータ参照、シリーズ検索
HTML構文の間違いを修正
formタグの括りが間違ってるとデグレると思いますが、一通りはチェック済み
3.共通関数
メール、ホムペのチェックの関数をバイナリセーフになるように変更しました。
4.ユーザ登録処理
htmlサニタイジングの強化
一応、diaruga(開発マシン)上で動作チェックはしてから、decalto(運用マシン)に適用していますが、おかしな挙動に気がついたら報告をお願いしておきます。