いつもお世話になっております。
2点ほど質問させていただきたいです。
■1.
投稿者一覧ページ、タグ一覧ページのurlに存在しない投稿者名やタグ名を入れても、エラーページに飛ばずに一覧ページが表示されてしまいます。
こちら存在しない場合はエラーページに遷移するよう対応するにはどうしたらいいでしょうか?
例.
https://XXXX/post/archives/author/aaa
https://XXXX/post/archives/tag/bbbbb
■2.
タグ一覧ページのurlにスクリプトを入れると、スクリプトが実行できてしまいました。
こちらスクリプトが実行されないようにする方法はありますでしょうか?
例.
https://XXXX/post/archives/tag/<button%20onclick="javascript%3Aalert(1)">
再現時のBaserCMSのバージョンは 4.3.1 です。
よろしくお願い致します。
すみません、こちら2番の方は自分の実装の仕方が問題あり、解決できました。
お騒がせ致しました。
こんにちはディベロッパーをやってますgondohと申します。
■1.
投稿者一覧ページ、タグ一覧ページのurlに存在しない投稿者名やタグ名を入れても、エラーページに飛ばずに一覧ページが表示されてしまいます。
こちら存在しない場合はエラーページに遷移するよう対応するにはどうしたらいいでしょうか?
現時点では標準機能で作成者がいないもしくはタグがない場合に記事が存在しない一覧を表示するようになっています。
404が正しい表示だと思いますので今後そういった改修を行うよう開発の方に要望をだします。
■2.
タグ一覧ページのurlにスクリプトを入れると、スクリプトが実行できてしまいました。
こちらスクリプトが実行されないようにする方法はありますでしょうか?
デモサイトの方で確認しましたがスクリプトが実行出来ることが確認できませんでした。
http://trial.basercms.net/news/archives/tag/<button%20onclick%3D"javascript%3Aalert(1)">
※ デモサイトなので変更されてしまうかもしれません・・
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
自作テーマであれば該当箇所のコードを記述いただいてもいいでしょうか。
対応についてお急ぎの場合カスタマイズにて1,2ともに開発可能なオフィシャルのbaserCMSクリエイティブパートナーにご相談するのも一つの方法かとおもいます。
早速の回答ありがとうございます。
■1.
なるほど、現在の挙動が正しい挙動なのですね。
承知致しました。ありがとうございます。
要望も出していただけるのでしたら大変助かります。
■2.
こちらテンプレートで$this->BcBaser->getContentsTitle()を使っているのですが、
$this->BcBaser->getContentsTitle()で受け取った値をエスケープしていなかったため、
タグ名にスクリプトを指定するとスクリプトがエスケープされずにそのまま使われてしまう状態だったために起きていたようでした。
お騒がせして申し訳ないです。。
Copyright (C) baserCMS User Community All rights reserved.
