サポート » プラグイン » add_query_arg() と remove_query_arg() の用法について

  • モデレーター Takuro Hishikawa

    (@hissy)


    プラグイン作者への情報共有です。4.1.2のリリースノートにおいて記載されている、多くのプラグイン作者に影響のあるセキュリティ脆弱性の修正について、英語のURLにリンクされているため、簡単な日本語の補足です。

    add_query_arg()remove_query_arg() の引数で元になるURLを省略した場合、$_SERVER['REQUEST_URI'] が使用されます。その結果はエスケープされませんので、そのまま画面に出力するとXSS攻撃に使用される可能性があります。

    修正方法は、これらの関数の返り値をエスケープすることです。ページにURLとして出力する場合は esc_url() で、リダイレクトする場合などHTTPヘッダに含める場合は esc_url_raw() を使用します。例外はありません。

2件の返信を表示中 - 1 - 2件目 (全2件中)
  • モデレーター gatespace

    (@gatespace)

    @ひっしー

    重要な情報なので、フォーラムの先頭に固定しておきます

    モデレーター Seisuke Kuraishi (tenpura)

    (@tenpura)

    フォーラムアップグレードにともない固定表示が多く表示されすぎてしまうので固定を外します。

2件の返信を表示中 - 1 - 2件目 (全2件中)
  • トピック「add_query_arg() と remove_query_arg() の用法について」には新たに返信することはできません。