問題
-
ウェブコンテンツ編集
コンテンツフィールド にスクリプトを追加して公開すると、記事が表示されたときにスクリプトが実行されます。 ページにアクセスすると、毎回アラートが鳴る。 このようなコンテンツを許可すると、作成者がXSS攻撃を行う手助けをする可能性がある。
Environment
- DXP 7.0 ~ DXP 7.4
解決策
-
これは期待される動作である。
-
管理者は、サニタイズすべきコンテンツをホワイトリストおよびブラックリストに登録することができます。
この場合、 com.liferay.journal.model.JournalArticle
でアンチサミーを有効にする必要があります。[DXP 7.4]にアクセスしてください:システム設定] > [セキュリティツール] > [アンチサミー] にアクセスし、[ホワイトリスト] フィールドから com.liferay.journal.model.JournalArticle を削除します。
[DXP 7.0] システム設定に移動します:システム設定 > Foundation > AntiSamy Sanitizerに移動し、ホワイトリストからcom.liferay.journal.model.JournalArticleを削除する。
ウェブコンテンツを再公開すると、警告ウィンドウは表示されなくなります。
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン