[TEEDA-42] HtmlResponseWriter#writeURIAttribute(String, Object, String) が javascript: で始まるものもエスケープする Created: 2006-08-22 Updated: 2006-08-22 Resolved: 2006-08-22 |
|
Status: | Resolved |
Project: | Teeda |
Component/s: | Teeda Core |
Affects Version/s: | 1.0-beta-5 |
Fix Version/s: | 1.0-beta-6 |
Type: | Bug | Priority: | Major |
Reporter: | shinsuke | Assignee: | manhole |
Resolution: | Fixed | Votes: | 0 |
Labels: | None |
Description |
writeURIAttribute(String, Object, String)かencodeURIAttribute(String)でそれをチェックするようにした方が良い気がします。 |
Comments |
Comment by manhole [ 2006-08-22 ] |
対応しました。 |
Comment by manhole [ 2006-08-22 ] |
勘違いに気づきました。 onclick="document.write("<b>xxx</b>");"
↑のようにエスケープされていても、javascriptとして↓のように解釈されて実行されるのですね。 document.write('<b>xxx</b>');
ですので、
というロジックにすればOKそうです。 |
Comment by manhole [ 2006-08-22 ] |
ではwriteURIAttributeの方も対応しますね。
どちらでも、"javascript:"で始まったら何もエスケープしないようにします。 |
Comment by shinsuke [ 2006-08-22 ] |
修正をありがとうございます。 |
Comment by manhole [ 2006-08-22 ] |
writeURIAttributeではなくてwriteAttributeの方で、"javascript:"に対応しました。 |
Comment by manhole [ 2006-08-22 ] |
りょーかいです。 |