サマリ | Wikiの指定ページをhtml化するプラグイン |
---|---|
リビジョン | 1.0 |
対応バージョン | 1.4.2 |
投稿者 | Nekyo |
投稿日 | 2004-03-01 (MON) 22:32:34 |
Wikiの指定ページのみをhtml化して表示します。他のcgi非対応のサイトのフレームの一部として参照することが可能です。スタイルシートを付替えることができます。また、生成された htmlをファイルに保存したり、文字コードを変更することも可能です。
新しく、ページ内に Snapshot ボタンを付ける機能を追加しました。
XSSの脆弱性が存在します。下記のように修正する必要があります。
function plugin_snapshot_convert() { global $script, $vars; if ($vars['cmd'] == "snapshot") return ""; $page = $vars['page']; $argc = func_num_args(); $argv = func_get_args(); $css = ($argc >= 1) ? $argv[0] : ""; // CSS $gen = ($argc >= 2) ? $argv[1] : ""; // Generate File Name $enc = ($argc >= 3) ? $argv[2] : ""; // Encode + $css = htmlspacialchars($css); // XSS対策!! + $gen = htmlspecialchars($gen); // XSS対策!! + $enc = htmlspecialchars($enc); // XSS対策!! + $s_page = htmlspecialchars($page); // XSS対策!! return <<<EOD <form action="$script" method="get"> - <input type="hidden" name="page" value="$page"> - <input type="hidden" name="cmd" value="snapshot"> - <input type="hidden" name="css" value="$css"> - <input type="hidden" name="gen" value="$gen"> - <input type="hidden" name="enc" value="$enc"> - <input type="submit" name="snapshot" value="SnapShot"> + <div> + <input type="hidden" name="page" value="$s_page" /> + <input type="hidden" name="cmd" value="snapshot" /> + <input type="hidden" name="css" value="$css" /> + <input type="hidden" name="gen" value="$gen" /> + <input type="hidden" name="enc" value="$enc" /> + <input type="submit" name="snapshot" value="SnapShot" /> + </div> </form> EOD;
遅ればせながら修正しました。ご指摘ありがとうございました。