![[PukiWiki-official]](image/pukiwiki-official.png "[PukiWiki-official]")
| サマリ | Wikiの指定ページをhtml化するプラグイン |
|---|---|
| リビジョン | 1.0 |
| 対応バージョン | 1.4.2 |
| 投稿者 | Nekyo |
| 投稿日 | 2004-03-01 (MON) 22:32:34 |
Wikiの指定ページのみをhtml化して表示します。他のcgi非対応のサイトのフレームの一部として参照することが可能です。スタイルシートを付替えることができます。また、生成された htmlをファイルに保存したり、文字コードを変更することも可能です。
新しく、ページ内に Snapshot ボタンを付ける機能を追加しました。
XSSの脆弱性が存在します。下記のように修正する必要があります。
function plugin_snapshot_convert()
{
global $script, $vars;
if ($vars['cmd'] == "snapshot") return "";
$page = $vars['page'];
$argc = func_num_args();
$argv = func_get_args();
$css = ($argc >= 1) ? $argv[0] : ""; // CSS
$gen = ($argc >= 2) ? $argv[1] : ""; // Generate File Name
$enc = ($argc >= 3) ? $argv[2] : ""; // Encode
+ $css = htmlspacialchars($css); // XSS対策!!
+ $gen = htmlspecialchars($gen); // XSS対策!!
+ $enc = htmlspecialchars($enc); // XSS対策!!
+ $s_page = htmlspecialchars($page); // XSS対策!!
return <<<EOD
<form action="$script" method="get">
- <input type="hidden" name="page" value="$page">
- <input type="hidden" name="cmd" value="snapshot">
- <input type="hidden" name="css" value="$css">
- <input type="hidden" name="gen" value="$gen">
- <input type="hidden" name="enc" value="$enc">
- <input type="submit" name="snapshot" value="SnapShot">
+ <div>
+ <input type="hidden" name="page" value="$s_page" />
+ <input type="hidden" name="cmd" value="snapshot" />
+ <input type="hidden" name="css" value="$css" />
+ <input type="hidden" name="gen" value="$gen" />
+ <input type="hidden" name="enc" value="$enc" />
+ <input type="submit" name="snapshot" value="SnapShot" />
+ </div>
</form>
EOD;遅ればせながら修正しました。ご指摘ありがとうございました。
|
Site admin: PukiWiki Development Team
PukiWiki 1.5.4+ © 2001-2022 PukiWiki Development Team. Powered by PHP 8.2.12. HTML convert time: 2.529 sec. |
|