ここの情報は古いです。ご理解頂いた上でお取り扱いください。

Changeset 2969


Ignore:
Timestamp:
May 17, 2007, 11:28:56 PM (12 years ago)
Author:
ogawa
Message:

#789:携帯向け認証付きフリーページ内のリンクから外部サイトへ移動するとリファラからセッションIDが漏れる危険性がある

Location:
OpenPNE/branches/2.8.x
Files:
3 edited

Legend:

Unmodified
Added
Removed
  • OpenPNE/branches/2.8.x/public_html/modules/admin/default.css

    r2932 r2969  
    12741274#admin_page_send_messages_search div#page_navi { padding: 10px 0; }
    12751275
     1276/** admin_page_list_c_free_page **/
     1277
     1278#admin_page_list_c_free_page h3.item { margin-top: 20px; }
     1279#admin_page_list_c_free_page input.basic,
     1280#admin_page_list_c_free_page textarea { margin: 3px 3px 3px 0; vertical-align: middle;}
     1281#admin_page_list_c_free_page input.basicRadio { margin: 3px 3px 3px 0; vertical-align: middle;}
     1282
     1283/** admin_page_update_c_free_page **/
     1284
     1285#admin_page_update_c_free_page input.basic,
     1286#admin_page_update_c_free_page textarea { margin: 3px 3px 3px 0; vertical-align: middle;}
     1287#admin_page_update_c_free_page input.basicRadio { margin: 3px 3px 3px 0; vertical-align: middle;}
     1288
     1289
    12761290/*********** footer ***********/
    12771291.footer { margin-top: 20px; padding: 10px 0; text-align: center;}
  • OpenPNE/branches/2.8.x/webapp/modules/admin/templates/list_c_free_page.tpl

    r2015 r2969  
    1313<p class="actionMsg">({$msg})</p>
    1414({/if})
    15 <p>
    16 フリーレイアウトのページを作成できます。
    17 </p>
     15<p>任意のHTMLを表示するページを作成できます。</p>
     16<p class="caution">※「SNS認証:あり」のページとはSNSにログインしている場合にのみ閲覧できるページです。</p>
    1817
    19 <table class="contents" cellpadding="0" cellspacing="0" border="0">
    20 <tr>
    21 <td class="menu">
    2218
    23 ({*
    24 <dl>
    25 <dt><strong class="item">新規追加</strong></dt>
    26 <dd>
    27 <p>フリーページを新規追加する。</p>
    28 </dd>
    29 </dl>
    30 
    31 <p class="textBtn"><input type="button" value="フリーページ追加する" onClick="location.href='?m=({$module_name})&amp;a=page_({$hash_tbl->hash('insert_c_free_page')})'"></p>
    32 *})
    33 
    34 <dl>
    35 <dt><strong class="item">フリーページ操作</strong></dt>
    36 </dl>
     19<h3 class="item">フリーページリスト</h3>
    3720
    3821({if $pager && $pager.total_num > 0})
     
    6952({****})
    7053<tr>
    71 <th>ID</th>
    72 <th>タイトル</th>
    73 <th>認証</th>
    74 <th>対象</th>
    75 <th colspan=2>操作</th>
     54<th>ページID</th>
     55<th>ページタイトル</th>
     56<th>SNS認証</th>
     57<th>対象ブラウザ</th>
     58<th colspan="2">操作</th>
    7659</tr>
    7760({****})
     
    8265({if $item})
    8366<tr>
    84 <td><a href="({if $item.auth})({t_url _absolute=1 m=$item.type a=page_h_free_page})({else})({t_url _absolute=1 m=$item.type a=page_o_free_page})({/if})&amp;c_free_page_id=({$item.c_free_page_id})" target="_blank">({$item.c_free_page_id})</a></td>
    85 <td>({$item.title})</td>
     67<td>({$item.c_free_page_id})</td>
     68<td><a href="({if $item.auth})({t_url _absolute=1 m=$item.type a=page_h_free_page})({else})({t_url _absolute=1 m=$item.type a=page_o_free_page})({/if})&amp;c_free_page_id=({$item.c_free_page_id})" target="_blank">({$item.title|default:"タイトルなし"})</a></td>
    8669<td>({if $item.auth})あり({else})なし({/if})</td>
    8770<td>({if $item.type == 'pc'})PC({else})携帯({/if})</td>
     
    10588({/if})
    10689
    107 </td>
    108 <td class="detail">
    109 <h3>({if $is_edit})フリーページの編集({else})フリーページの新規追加({/if})</h3>
     90
     91<h3 class="item">フリーページの新規追加</h3>
    11092
    11193<form action="./" method="post">
    112 <input type="hidden" name="m" value="({$module_name})">
    113 <input type="hidden" name="a" value="do_({$hash_tbl->hash('insert_c_free_page','do')})">
    114 <input type="hidden" name="sessid" value="({$PHPSESSID})">
     94<input type="hidden" name="m" value="({$module_name})" />
     95<input type="hidden" name="a" value="do_({$hash_tbl->hash('insert_c_free_page','do')})" />
     96<input type="hidden" name="sessid" value="({$PHPSESSID})" />
    11597
    116 タイトル<br>
    117 <input type="text" name="title" size="({$cols|default:72})">
    118 
    119 ({if $is_edit})
    120 <p class="default">ページをhtmlで記述してください</p>
    121 ({else})
    122 <p class="default">追加するページをhtmlで記述してください</p>
    123 ({/if})
    124 
    125 <textarea name="body" cols="({$cols|default:72})" rows="({$rows|default:10})"></textarea><br>
    126 
    127 <table>
     98<table class="basicType2">
     99<tbody>
    128100<tr>
     101<th>ページタイトル</th>
     102<td><input class="basic" type="text" name="title" size="({$cols|default:72})" /></td>
     103</tr>
     104<tr>
     105<th>ページ内容</th>
    129106<td>
    130 <input type="radio" name="auth" value="1" checked="checked">認証あり
    131 </td>
    132 <td>
    133 <input type="radio" name="auth" value="0">認証なし(ログインしなくても見ることが出来ます)
     107<textarea class="basic" name="body" cols="({$cols|default:72})" rows="({$rows|default:10})"></textarea>
    134108</td>
    135109</tr>
    136110<tr>
     111<th>SNS認証</th>
    137112<td>
    138 <input type="radio" name="type" value="pc" checked="checked">PC
    139 </td>
    140 <td>
    141 <input type="radio" name="type" value="ktai">携帯<br>
     113<input class="basicRadio" type="radio" id="radio_auth_1" name="auth" value="1" checked="checked" /><label for="radio_auth_1">あり</label>
     114<input class="basicRadio" type="radio" id="radio_auth_2" name="auth" value="0" /><label for="radio_auth_2">なし</label>
    142115</td>
    143116</tr>
     117<tr>
     118<th>対象ブラウザ</th>
     119<td>
     120<input class="basicRadio" type="radio" id="radio_type_1" name="type" value="pc" checked="checked" /><label for="radio_type_1">PC</label>
     121<input class="basicRadio" type="radio" id="radio_type_2" name="type" value="ktai" /><label for="radio_type_2">携帯</label>
     122</td>
     123</tr>
     124<tr>
     125<td colspan="2">
     126<p class="caution">※「SNS認証:あり」「対象ブラウザ:携帯」のページにて、フリーページ内のリンクから外部サイトに遷移する際、<br />
     127外部サイトにリファラから「第三者によるログインが可能な情報」が漏えいする危険性があります。</p>
     128<p class="textBtn"><input type="submit" class="submit" value="追加する"></p>
     129</td>
     130</tr>
     131</tbody>
    144132</table>
    145 
    146 ({if $is_edit})
    147 <p class="textBtn"><input type="submit" class="submit" value="変更する"></p>
    148 ({else})
    149 <p class="textBtn"><input type="submit" class="submit" value="追加する"></p>
    150 ({/if})
    151133
    152134</form>
    153135
    154 
    155 
    156 
    157 
    158 
    159 
    160 
    161 
    162 
    163 
    164 
    165 </td>
    166 </table>
    167 
    168136({$inc_footer|smarty:nodefaults})
  • OpenPNE/branches/2.8.x/webapp/modules/admin/templates/update_c_free_page.tpl

    r2015 r2969  
    1616<input type="hidden" name="sessid" value="({$PHPSESSID})">
    1717<input type="hidden" name="c_free_page_id" value="({$c_free_page.c_free_page_id})">
    18 タイトル<br>
    19 <input type="text" name="title" value="({$c_free_page.title})" size="({$cols|default:72})"><br><br>
    20 <textarea name="body" cols="({$cols|default:60})" rows="({$rows|default:10})">({$c_free_page.body})</textarea><br>
    2118
    22 <table>
     19<table class="basicType2">
     20<tbody>
    2321<tr>
     22<th>ページタイトル</th>
     23<td><input type="text" name="title" value="({$c_free_page.title})" size="({$cols|default:72})" /></td>
     24</tr>
     25<tr>
     26<th>ページ内容</th>
    2427<td>
    25 <input type="radio" name="auth" value="1" ({if $c_free_page.auth}) checked="checked"({/if})>認証あり
    26 </td>
    27 <td>
    28 <input type="radio" name="auth" value="0" ({if !$c_free_page.auth}) checked="checked"({/if})>認証なし(ログインしなくても見ることが出来ます)
     28<textarea name="body" cols="({$cols|default:60})" rows="({$rows|default:10})">({$c_free_page.body})</textarea>
    2929</td>
    3030</tr>
    3131<tr>
     32<th>SNS認証</th>
    3233<td>
    33 <input type="radio" name="type" value="pc" ({if $c_free_page.type == 'pc'}) checked="checked"({/if})>PC
    34 </td>
    35 <td>
    36 <input type="radio" name="type" value="ktai" ({if $c_free_page.type == 'ktai'}) checked="checked"({/if})>携帯<br>
     34<input class="basicRadio" type="radio" id="radio_auth_1" name="auth" value="1"({if $c_free_page.auth}) checked="checked"({/if}) /><label for="radio_auth_1">あり</label>
     35<input class="basicRadio" type="radio" id="radio_auth_2" name="auth" value="0"({if !$c_free_page.auth}) checked="checked"({/if}) /><label for="radio_auth_2">なし</label>
    3736</td>
    3837</tr>
     38<tr>
     39<th>対象ブラウザ</th>
     40<td>
     41<input class="basicRadio" type="radio" id="radio_type_1" name="type" value="pc"({if $c_free_page.type == 'pc'}) checked="checked"({/if}) /><label for="radio_type_1">PC</label>
     42<input class="basicRadio" type="radio" id="radio_type_2" name="type" value="ktai"({if $c_free_page.type == 'ktai'}) checked="checked"({/if}) /><label for="radio_type_2">携帯</label>
     43</td>
     44</tr>
     45<tr>
     46<td colspan="2">
     47<p class="caution">※「SNS認証:あり」「対象ブラウザ:携帯」のページにて、フリーページ内のリンクから外部サイトに遷移する際、<br />
     48外部サイトにリファラから「第三者によるログインが可能な情報」が漏えいする危険性があります。</p>
     49<p class="textBtn"><input type="submit" class="submit" value="編集する"></p>
     50</td>
     51</tr>
     52</tbody>
    3953</table>
    40 <p class="textBtn"><input type="submit" class="submit" value="編集"></p>
     54
    4155</form>
    4256
    4357<p class="groupLing"><a href="?m=({$module_name})&amp;a=page_({$hash_tbl->hash('list_c_free_page')})">戻る</a></p>
     58
    4459({$inc_footer|smarty:nodefaults})
Note: See TracChangeset for help on using the changeset viewer.