TopMovable Typeカスタマイズ管理画面 > 2009年5月
2009年5月25日

MovableType 4.25 のコメント投稿でJavaScript イベント属性(onclick等)を有効にする

May 25,2009 1:37 AM
Tag:[, , ]
Permalink

Movable Type 4.25 のコメント欄の(X)HTML要素に onclick 属性や onleypress 属性を適用させる方法です。質問を頂きましたので本エントリーで回答します。

1.基本動作

コメント欄に次のような(X)HTMLを記述すると、

<a href="foo.html" onclick="foo()">foolink</a>

onclick 属性はサニタイズされて、

<a href="foo.html">foolink</a>

となります。これはコメントに書き込まれた onclick 属性によるXSS(クロスサイトスクリプティング)対策です。onclick のみだけでなく、JavaScript イベント属性(on~)は許容されていません。

なお、Movable Type 4.25 では、ブログ管理画面の「設定」→「コメント」で、「HTMLタグを制限」の項目に、JavaScript イベント属性を設定しても(下)、コメント投稿時に設定したJavaScript イベント属性はすべて除去されます。

2.JavaScript イベント属性を有効にする

lib/MT/Sanitize.pm の下記の赤色で示した1行をコメントアウトするか、削除すれば、JavaScript イベント属性の追加ができるようになります(1項で示した「HTMLタグを制限」に、JavaScript イベント属性を設定してください)。

...前略...
if ($ok_tags->{$name} ||
    (exists $tag_attr->{$name} && $tag_attr->{$name} eq '/')) {
    if ($inside) {
        my @attrs;
        while ($inside =~ m/([:\w]+)\s*=\s*(['"])(.*?)\2/gs) {
            my ($attr, $q, $val) = (lc($1), $2, $3);
            # javascript event attributes explicitly not allowed
            next if $attr =~ m/^on/;
            if ($ok_tags->{'*'}{$attr} ||
               (ref $ok_tags->{$name} && ($ok_tags->{$name}{'*'} || $ok_tags->{$name}{$attr}) && !exists($ok_tags->{$name}{'!' . $attr}))) {
...後略...

なお、コメント投稿において JavaScript イベント属性を有効にすると、XSSによる脆弱性が伴いますので、変更に際してはご自身の責任で行なってください。

この XSS 対処の仕様は4.25 から追加されています。

Comments [0] | Trackbacks [0]
Now loading...
ギターに入った猫
掲載広告募集
Styles
Font Size
Default
For defective color vision
Gray Scale
RGB Color
Search this site

このブログをメールで購読する by:FeedBurner

AMN
Categories
Monthly Archives
2020年
2019年
2018年
2017年
2016年
2015年
2014年
2013年
2012年
2011年
2010年
2009年
2008年
2007年
2006年
2005年
2004年
2003年
BlogPeople
Syndicate this site
FeedBurner(RSS1.0/RSS2.0/Atom)
Counter
これまでのアクセス
Powered by
Movable Type 6.0.3