ブログエディターのセキュリティを強化しました
ブログエディターは、
www.rentafree.net
ドメインでHTMLコードをプレビュー出来るわけで、
自己責任な気もするが、
エディタ上でスクリプトを起動出来ちゃうと、
自分自身のブラウザに裏で www.rentafree.netドメインにフルアクセスさせることが出来ちゃうので、
問題は、
1. ソースモードでウイルスみたいのを自分で挿入
2. プレビューモードに移行
ってした後に、入れたコードを実行するのがよろしくないわけで、
今までは個別にaddEventListenerを大量挿入して、親要素がキャプチャフェイズでイベントを奪って、
設定した分は子要素のイベントを全て無効化していましたが、
事前登録で全てのイベントを無効化するのは無理がある感じだったんで、
事前登録せずに、
ソースモード→プレビュー
移行時にコードを調べて、
onXXXX
的な奴があれば全部addEventListenerして無効化するようにしました。
まだスクリプト起動方法あるような気はするが、
ここらで限界かと・・・
まあ、スクリプト挿入できてプレビュー出来る系のブログじゃ、考慮してる分うちが一番セキュアだとは思う。
あと、今回の修正はaddEventListenerに対応してないんでIE8以下には意味がありませんが、
IE9も含めて全てのIEに、
<script defer>要素が挿入時に即実行できるってセキュリティーホールがありますんで、
IEだとイベント駆動以前に、
ソースモードでウイルス挿入して、
ソース→プレビュー
したらその瞬間にアウトです。
まあ、どっかで拾った怪しいHTMLコードとかは、挿入しない方がいいです。
www.rentafree.net
ドメインでHTMLコードをプレビュー出来るわけで、
自己責任な気もするが、
エディタ上でスクリプトを起動出来ちゃうと、
自分自身のブラウザに裏で www.rentafree.netドメインにフルアクセスさせることが出来ちゃうので、
問題は、
1. ソースモードでウイルスみたいのを自分で挿入
2. プレビューモードに移行
ってした後に、入れたコードを実行するのがよろしくないわけで、
今までは個別にaddEventListenerを大量挿入して、親要素がキャプチャフェイズでイベントを奪って、
設定した分は子要素のイベントを全て無効化していましたが、
事前登録で全てのイベントを無効化するのは無理がある感じだったんで、
事前登録せずに、
ソースモード→プレビュー
移行時にコードを調べて、
onXXXX
的な奴があれば全部addEventListenerして無効化するようにしました。
まだスクリプト起動方法あるような気はするが、
ここらで限界かと・・・
まあ、スクリプト挿入できてプレビュー出来る系のブログじゃ、考慮してる分うちが一番セキュアだとは思う。
あと、今回の修正はaddEventListenerに対応してないんでIE8以下には意味がありませんが、
IE9も含めて全てのIEに、
<script defer>要素が挿入時に即実行できるってセキュリティーホールがありますんで、
IEだとイベント駆動以前に、
ソースモードでウイルス挿入して、
ソース→プレビュー
したらその瞬間にアウトです。
まあ、どっかで拾った怪しいHTMLコードとかは、挿入しない方がいいです。