Naoki Takezoe
ADS28****@nifty*****
2003年 6月 29日 (日) 17:09:25 JST
竹添です。 "HAYASHI, 'Lef' Tatsuya" <lef****@st*****> wrote: > あのプラグインなのですが、LWPを使わない理由は > 必要moduleの増加を防ぐためでしょうか。 そうですね。基本的な機能じゃないんで。LWP全部だとサイズも 結構大きいですしね・・・。 メールのSMTP送信をできるようにしようと思っているのですが、 これもNet::SMTPを使うかどうか悩んでます。 > いま、公式サイトのRSSのページで、いくつか取得できないページがありますが、 > さすがにsocket周りの処理はもう少し手を入れないとまずいような…。 > > あと、いまいきなりEUCに変換させようとしてますけど、 > jcode.plだとUTF-8を処理できないと思うんですが、 考えてないですが、Jcode.pmを使うことになると思います。 これはInterWikiでもUTFに対応できるんで入れたいと思っています。 > RSS 1.0プラグインに関係する部分としてはXMLのパースがあります。 > あの部分は、今後もいまのまま自力パース?でいく予定でしょうか。 パースというほどの処理ではないんで、わざわざXMLパーサを 使う必要もなかろうと思ってます。 > サニタイジングが不完全でXSS脆弱性があるようです。 > URLにscriptを埋められることを確認しました。 > 悪意あるRSSの<link>に > 「<link>http://www.example.com" onmouseover=alert(document.cookie);"</link>」 > と書いておき、RSSページで取得するようにすると > そのリンクにマウスカーソルを合わせた時点でcookieが表示されてしまいます。 なるほど。ありがとうございます。
Fork