ふたばちゃんねるアク禁被害者スレ その27 [無断転載禁止]©5ch.net
■ このスレッドは過去ログ倉庫に格納されています
0001192.168.0.774
2016/05/07(土) 07:54:25.47ID:xN2R4n4L0http://echo.2ch.net/test/read.cgi/internet/1458640206/
0486Mr.モアイ
2016/05/24(火) 22:48:06.72ID:WUZx5tE80上記で話に出た画像投稿時にフルパスが含まれてしまう件について
ハリソンス=フォード君が対応してくれたようだがこの私からも補足しよう
そもそもIEはファイルアップロード時にサーバにそのフルパスを送りつけるという
奇妙な仕様を持っていた. IE以外のブラウザの場合、私が知る限りこのような
フルパスを送るという仕様を持つブラウザは存在しない
例えばFirefox, Opera, Chromeなどではいずれも送られるのはファイル名の部分のみであり
Moaiが中継段階で加工するまでもなく最初からフルパスは除去されている
さらに厳密に言えばIEの場合でも、フルパスが送られるというのは以下の場合に限られる
1. IE6以前から画像投稿した場合
2. IE7で「サーバーにファイルをアップロードするときにローカルディレクトリの
パスを含める」というブラウザのセキュリティ設定を有効としてしまっている場合
IE7ではこれがデフォルトで有効となっている
尚IE8以降よりこの設定はデフォルトで無効になっている. 無論、セキュリティ上
これは本来無効であるべきで、妥当なデフォルトと言える
つまり、通常特に設定を変えていない限り、フルパスが送られてしまうことが懸念されるのは
IE7以前をお使いである場合に限られると考えてよい
0487Mr.モアイ
2016/05/24(火) 22:53:31.50ID:WUZx5tE80これを解決すべき問題として開発のTODOリストに入れておいたのだが、当時他に実装すべきことが
山のように混んでいたのと、テスト時には一応IEでもテストしたのであるが、私がテストで使った
IEはIE7より新しいものであったため、post_confirm画面上でのフルパスになることが一度もなく、
すっかりこの問題を解決したものと思い込んでいた
申し訳ない
尚、ハリソンス=フォード君がクソ汚いコードで修正してくれたようだが、現在リポジトリに挙がっている
最新のソースコードおよびバイナリでは問答無用でフルパスを除去するようにしてあるようなので
IE7以前でもフルパスが送られる心配はもはやない
あと細かいことだが、上記を合わせ考えれば付属のuser_agent.txtにはIE6以前のUser-Agentを
含めない方がより確実ではある(ただしOperaでの擬似IE User-Agentは残しておいても問題なかろう)
これについても修正版のuser_agent.txtをコミットしておいたので気になる方は新しいものに置き換えて戴きたい
0488Mr.モアイ
2016/05/24(火) 22:54:47.27ID:WUZx5tE80それでは私はこれにて失礼し、もう寝るとしよう
おやすみなさい
■ このスレッドは過去ログ倉庫に格納されています