next »

[MEGU]

概要
GET/POSTの値に対してXSS対策を施しクリーンな値にするプラグインです。

逆に影響を与える可能性があるのが、HTMLを許可したスニペット類では
Javascriptなどの記述やOnイベントが使えなくなります。

プラグイン設定にパターンを追加できます。

ダウンロード


インストールとアンインストール

インストール
１．zipファイルを解凍します。
２．リソース管理＞プラグイン　プラグインの作成　とすすみ以下の要項でプラグインを作成します
　　・プラグイン名　more secure （任意）
　　・プラグインコード　clean.plugins.php　の中身をそのまま貼り付けます
　　・プラグイン設定　&patterns=patterns;textarea;
　　・システムイベント　OnWebPageInit

アンインストール
管理画面からプラグインを削除します


使い方
プラグインの設定で、パターンを追加できます（正規表現に限る）。


リソースの情報

作者	ZeRo
リソース名	more secure
ライセンス	GPL
動作環境	MODx 0.9.61p2にて確認
リソースの種別	プラグイン
タグ	security

上手く説明できなくてすみません。フォロ～お願いします～。
でも、みなさんのサイトを守る大切なプラグインです。
ぜひ、導入してください。 by MEGU

[MEGU]

補足：

MODx本体でも、ある程度セキュリティのチェックは、行っていますが、
基本的な仕様として、チェックはリソース側に任す仕様になっています。従って
リソース側でチェックが甘い場合、サイトが危険にさらされる可能性が
出てきます。

このプラグインは、万が一XSS対策がされていないリソースなどを
導入した場合でも、100%ではありませんが、あるていど、保護してくれる
役目をします。

---*---*---*---*---*---
ZeRoさんとsoushiさんに聞いてまとめました。
違ってたら、フォロおねがします。。

[ZeRo]

そんな感じっす

まあ、大抵のものは入れなくても適切に処理しているとは思いますが・・・。
全部把握しきれてないので、とりあえず担保みたいなもんですね。

[ZeRo]

Phizeさんのスニペット、プラグイン等のお作法の記事を元に改版してみました。
基本的な動作に変更はありません、利用し終わった後のリソースの開放をしただけですが・・もしおかしな動作になるようでしたらご報告の程お願いします。