問題
- ButtonフラグメントのURLフィールドにJavascriptコードを記述することで、ボタンをクリックしたときに次のように実行されます。
javascript:alert(document.cookie) - クロスサイト・スクリプティング(XSS)の脆弱性ではないか?
Environment
- Liferay DXP 7.3+
解決策
- そのため、URLを扱う管理者(または編集者)は、そのボタンを使ってJavascriptを起動することができます。
-
ページ上のフラグメントは、ページを構成する利用可能なHTML機能にアクセスできなければならない。 この場合ここでは
<a>タグはそのhref属性にjavascriptを含めることができます。
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン