【重要なお知らせ】Ver.2.11 から校正オプションの仕様が変更になります
これまで 1.0 - 2.10.x まで校正オプションがついていると escape しないという仕様でした。
これにより {text}[nl2br] などをお問い合わせフォームに書き escape を忘れてしまうこと でカスタマイズする際に、脆弱性を作り込んでしまうことが多く発生 しておりました。
2.11 からは、この長くからの仕様を変更し、校正オプションがあったとしても無かったとしてもどちらも、どの場合であっても基本的には変数は escape して表示することになりました。
{text}[nl2br] と書くだけで大丈夫になりますが、逆に管理画面からHTMLタグを入力しているようなカスタムフィールドなどは {text}[raw] と書かないと HTML タグがそのまま表示されるようになります。
アップデートの際にはご注意が必要になりますので、
Ver.2.11から、セキュリティ対策としてXSS(クロスサイトスクリプティング)を防止するため校正オプションを指定していた時もエスケープ処理が自動で行われるようになりました。これにより、一部のカスタムフィールドなどの変数の表示に不具合が出る可能性があります。
概要
以前まではお問い合わせフォームに エスケープ処理を忘れてしまうこと が理由となり、カスタマイズする際に脆弱性を作り込んでしまう問題 が多く見られました。同じような問題が発生しないようにするため、対策としてすでに校正オプションが適用されていた場合もエスケープ処理をする仕様に変更となりました。
これにより校正オプションが1つでも提供されている変数にHTMLの記述があった場合、HTMLの記述が文字列として表示されます。カスタマイズされている一部のサイトにはお手数をおかけいたしますが、ご理解のほどよろしくお願いいたします。
例:校正オプションnl2brを適用した変数に起こる現象
具体的な問題の解説
Ver.2.10以前までの記述
以前から変数に対して自動でエスケープ処理が行われていましたが、お問い合わせフォームなどで1つ以上校正オプションを適用している場合は、XSS(クロスサイトスクリプティング)対策をするためパイプで繋げて別途エスケープ処理をする必要がありました。ですが、実際にはエスケープ処理をする校正オプションを適用し忘れているサイトもあり、問題になることがありました。
エスケープ処理をした記述例:
<p>{text}[escape|nl2br]</p> <!-- nl2brと合わせて使用するときの記述 -->
<div>{text}[escape|markdown]</div> <!-- markdownと合わせて使用するときの記述 -->Ver.2.11以降の変更
そこで、Ver.2.11からは1つ以上の校正オプションが適用されていても、自動でエスケープ処理が行われるようになりました。お問い合わせフォームで利用する際は、下記の記述例のように1つの校正オプションで済むようになります。
<p>{text}[nl2br]</p> <!-- nl2brと合わせて使用するときの記述 -->
<div>{text}[markdown]</div> <!-- markdownと合わせて使用するときの記述 -->問題が起こるケース
一方でVer.2.11以降では、カスタムフィールドにHTMLなどのソースコードが記述されていると、ソースコードが展開できないように特定の文字が実体参照に変換されてしまいます。(例:「<」、「>」、「&」、「"」など)
以下の箇所で影響が出る場合があります。
- カスタムフィールド
- カスタムユニット
- 拡張ユニット
- そのほか変数を利用している箇所
防止するためには、アップデートをする前に、校正オプションを適用していてHTMLの記述を要する変数には[raw]校正オプションを適用してください。
記述例:
<p>{text}[raw|nl2br]</p> <!-- nl2brと合わせて使用するときの記述 -->
<div>{text}[raw|markdown]</div> <!-- markdownと合わせて使用するときの記述 -->校正オプションの記述方法についてはリファレンスをご覧ください。
ご不明な点があったときは
この件についてなにかご不明な点がございましたら、お問い合わせフォームまでご連絡ください。
日々使いやすいシステムとなるよう改善を勤めておりますので、皆様からの貴重なフィードバック、お待ちしております。
