Ver. 2.7.16 の修正、変更点
先日新しいフィックスバージョンをリリースをいたしました。
今回は多くの修正・変更を行なっており、リリースノート だけですと変更点がわかりにくいので、ここに詳しい修正内容について記載します。今回の大きな変更点はセキュリティ周りになります。
セキュリティ周り
prettyPhotoのallowscriptaccessをsameDomainに変更
FlashをprettyPhotoで再生する時に同じドメイン内のFlashのみを再生するように変更しました。
インクルードファイル類の404対応
HTMLの構造として正しくないHTML(includeなどに使用されているHTML)などにアクセスした場合 404を返すように変更しました。 例: https://example.com/include/header.html
systemテーマ内の直リンク時の404対応
ログアウト時にsystemテーマ内のadminディレクトリのファイルが、コンテンツは出力されないがステータスが200で返っていたのを404で返すように変更しました。 例: https://example.com/admin.html
フォームの不正アクセスのエラー対策を修正
フォームの内容を書き換えてPOSTするなど攻撃と判断した場合は、HTTPステータス500でプログラムを終了していましたが、HTTPステータス200でエラーメッセージを表示するように変更しました。
SystemErrorモジュールを追加
コメントフォームや管理画面のフォームで不正なアクセスが起こった際にその内容を表示するためのモジュールを追加しました。
使用例
`html
### セキュリティヘッダーの追加
以下のヘッダーをデフォルトで付加するようにしました。
* X-XSS-Protection: 1; mode=block
* X-Content-Type-Options: nosniff
* Strict-Transport-Security: max-age=86400; includeSubDomains
また次のヘッダーをオプションでCMSから出力できるようになります。
* Content-Security-Policy
### 設定方法
config.system.yaml に設定を追記します。
x_frame_options : SAMEORIGIN # DENY | SAMEORIGIN | off
x_xss_protection : on # on | off
x_content_type_options : on # on | off
strict_transport_security : max-age=86400; includeSubDomains # max-age=86400; includeSubDomains | off
content_security_policy : off # default-src 'self'; script-src 'self' | off
`
その他
サーバーによって常時SSL時のメルマガ、CSVダウンロードなどが動かない問題を修正
常時SSL時にサーバー環境によっては証明書エラーによってCSVダウンロードが出来ない問題を修正しました。
フォームの添付名を任意の名前が指定できるオプションを追加
今までは、フォームの添付はランダム文字列でしか添付ができませんでしたが、任意のファイル名を指定できるようになりました。下記のようにHTMLを記述しておくと、メール送信時にその名前でファイルが添付されます。
<input type="hidden" name="hoge@downloadName" value="ここに任意の名前" />
テーブルユニットのコピーペースト時のバグフィックス
ブラウザのアドレスバーや、メモ帳などプレーンなテキストをコピーペーストしようとすると、セルの中の文字が消え空欄になってしまっていた問題を解決。またIE11などでペーストの挙動が不安定だった問題を解決。
以上になります。 今後ともa-blog cmsをよろしくお願いいたします。