ブログエディターを改良しました
ブログエディターで、
1. ソースモードでスクリプトコードを挿入してからプレビューモードに切り替えた場合
2. 投稿済みの記事を編集しようとした場合
に、
JavaScript等のプログラムをブラウザに実行させることができたため、
そこらの対策をしました。
自分で入力する場合は問題ないですが、
どこかから得体のしれないHTMLコードを入れた場合に、
悪意のあるスクリプトコードをブログ管理者が実行しちゃうとかなりやばいですんで、そこらの対策。
エディター部分で、
focus
blur
contextmenu
keydown
keyup
copy
cut
paste
change
click
dblclick
keypress
resize
scroll
mousedown
mousemove
mouseout
mouseover
mouseup
イベントを設定し、
エディター内の要素でこれらのイベントをハンドルすることを不可にしました。
IE8以下については、
スクリプト不可にする方法がおそらくないので対策していません。
IE9はたぶん新機能が機能すると思うのですが、
現在のところIE9でのテストを行っていない状況です。
近日中にIE9のテストを開始しようと思います。
IE9に対応させるためにIE7を削除すると思うので、
今後IE7での動作確認はできなくなります。
IE9はその他の部分でも進化しているようなので、
IE対策の処理を見なおして、その他のクロスブラウザ処理部分でも改善しようと思います。
推薦ブラウザや対応ブラウザ等の情報も整理したいと思います。
最近Firefoxのバージョンアップが早すぎる・・・
1. ソースモードでスクリプトコードを挿入してからプレビューモードに切り替えた場合
2. 投稿済みの記事を編集しようとした場合
に、
JavaScript等のプログラムをブラウザに実行させることができたため、
そこらの対策をしました。
自分で入力する場合は問題ないですが、
どこかから得体のしれないHTMLコードを入れた場合に、
悪意のあるスクリプトコードをブログ管理者が実行しちゃうとかなりやばいですんで、そこらの対策。
エディター部分で、
focus
blur
contextmenu
keydown
keyup
copy
cut
paste
change
click
dblclick
keypress
resize
scroll
mousedown
mousemove
mouseout
mouseover
mouseup
イベントを設定し、
エディター内の要素でこれらのイベントをハンドルすることを不可にしました。
IE8以下については、
スクリプト不可にする方法がおそらくないので対策していません。
IE9はたぶん新機能が機能すると思うのですが、
現在のところIE9でのテストを行っていない状況です。
近日中にIE9のテストを開始しようと思います。
IE9に対応させるためにIE7を削除すると思うので、
今後IE7での動作確認はできなくなります。
IE9はその他の部分でも進化しているようなので、
IE対策の処理を見なおして、その他のクロスブラウザ処理部分でも改善しようと思います。
推薦ブラウザや対応ブラウザ等の情報も整理したいと思います。
最近Firefoxのバージョンアップが早すぎる・・・