HAYASHI, 'Lef' Tatsuya
lef****@st*****
2003年 6月 29日 (日) 13:58:38 JST
Lefです。 とりあえず、RSS1.0に手をつけはじめたのですが、 本体にRSS取得プラグインが入ったのでいくつか疑問が。 あのプラグインなのですが、LWPを使わない理由は 必要moduleの増加を防ぐためでしょうか。 いま、公式サイトのRSSのページで、いくつか取得できないページがありますが、 さすがにsocket周りの処理はもう少し手を入れないとまずいような…。 あと、いまいきなりEUCに変換させようとしてますけど、 jcode.plだとUTF-8を処理できないと思うんですが、 どうする予定でしょう。 やはりJcode.pmでしょうか。 RSS 1.0プラグインに関係する部分としてはXMLのパースがあります。 あの部分は、今後もいまのまま自力パース?でいく予定でしょうか。 もし、XMLパーサーを入れる可能性があるのであれば、 XML::RSSが使えるかもしれないので。 あと、疑問ではありませんが、 サニタイジングが不完全でXSS脆弱性があるようです。 URLにscriptを埋められることを確認しました。 悪意あるRSSの<link>に 「<link>http://www.example.com" onmouseover=alert(document.cookie);"</link>」 と書いておき、RSSページで取得するようにすると そのリンクにマウスカーソルを合わせた時点でcookieが表示されてしまいます。 (他にも可能なことがあるはずです) ----- HAYASHI, "Lef" Tatsuya / mailto:lef****@st*****