add_query_arg() と remove_query_arg() の用法について
-
プラグイン作者への情報共有です。4.1.2のリリースノートにおいて記載されている、多くのプラグイン作者に影響のあるセキュリティ脆弱性の修正について、英語のURLにリンクされているため、簡単な日本語の補足です。
add_query_arg()
とremove_query_arg()
の引数で元になるURLを省略した場合、$_SERVER['REQUEST_URI']
が使用されます。その結果はエスケープされませんので、そのまま画面に出力するとXSS攻撃に使用される可能性があります。修正方法は、これらの関数の返り値をエスケープすることです。ページにURLとして出力する場合は
esc_url()
で、リダイレクトする場合などHTTPヘッダに含める場合はesc_url_raw()
を使用します。例外はありません。
2件の返信を表示中 - 1 - 2件目 (全2件中)
2件の返信を表示中 - 1 - 2件目 (全2件中)
- トピック「add_query_arg() と remove_query_arg() の用法について」には新たに返信することはできません。