銀杏の木

ご丁寧に、

http://red-souls.jp/ichounoki/rnote/software/?d="><script >alert(String.fromCharCode(88,83,83))</script>&p=3

と言う風にアクセスしてくださった方がおられたので、 XSS（クロスサイトスクリプティング）というものの存在に気づいた。

気づいたので対処した。 rNote-re に対処したのだが、 rNote の rnote.php がもっていた問題なので、題名は「 rNote に・・・」とした。

CVE Details に rNote の脆弱性についての記述があった。 GET で取得するパラメータ d と u に、スクリプトを埋め込まれると実行してしまう脆弱性があるとのことだったので、そのあたりを修正し、スクリプトを埋め込まれても実行されないようにした。

まあ、結果的に脆弱性を消すことができたのでよかったのだろうが、わざわざこんな人の来ないようなブログに来て XSS を埋め込んでくるとは、世の中には暇人もいたもんだと呆れた。

ずっと思っていたのだが、「適用」と書くべきところを「適応」と誤用している人が非常に多い。

（誤用例）「セット割引が適応される。」

適用・・・あてはめて用いること。

適応・・・環境に合うように行動や考え方を変えること。

です。

上の誤用例だと、そのまま解釈すると「セット割引が、環境に合うように考え方を変える。」などという意味不明な文になる。この文の書き手は、本当は、「セット割引が、当てはめられる。」と言いたいのだ。つまり「適用」と書くべき文だ。

冒頭でも書いたが、本来、「適用」と書くべきところを「適応」と書いている誤用者が非常に多い。文字数、字、発音の３点とも似通っているからか。

ちょっとネットで検索してみたら分かると思うが、あまりにも誤用が多いので書いてみた。言葉の意味はしっかり理解して使いましょう。

table タグの属性 cellspacing="0" cellpadding="0" は、 HTML5 では廃止されているので、スタイルシートを使って、

style="border-collapse:collapse; border-spacing:0px; padding:0px;"

のように記述し代替する。

rNote-re の管理者用のプラグインである、オン書きエディタ（ rnotepad ）を修正した。

エディタの機能を用いて URL のボタンを押してリンクを貼った場合に、リンクとして挿入される　URL に含まれる＆が＆ａｍｐ；に置換されるようにした。（＜、＞、’、”も同様。）

ただし、手書きで URL を打ち込んだ場合や、記事のタイトルに URL を手打ちした場合は、自分で＆ａｍｐ；と入力する必要がある。記事中に文字として＆を入力する場合も同様。

理由は、「投稿」ボタンが押されたら自動的に＆などをエンコードするのであれば、手打ちで＆ａｍｐ；と打ってある＆までエンコードされてしまうし、文字として＜を入力している場合はエンコードしてもいいが、タグの一部として入力されていた場合もエンコードしてしまう。「URL」ボタンでリンクを貼るとき以外に自動エンコードしないのは、これらの場合に自動で判断がつけられないからだ。

というわけで、余暇を利用して対応させた。

各記事は article タグ、左側と上部のナビゲーション部分は、それぞれ nav タグでマークアップした。（あとやるとしたら、 section タグでセクション分けするぐらいか？）

また、各タグで HTML5 になって廃止された属性を同等のものに置き換える、リンク内の＆を＆amp;に置換、リンク内の ASCII でない文字列を urlencode() でエンコード、など作業した。

HTMLLINT で９５点（よくできました）がとれたので、これでまあよしとする。

SEO 対策には有効かも知れないらしいが、はてさて、どの程度有効なのだろう？