Keyword Child Tree cbbs
Child Tree v8.93 会員制パスワードが外部サイトに漏れてしまう問題。
UPDATE : 2007/01/14
Child Treeをパスワード制にしている場合、記事中のリンクをクリックするとリンク先サイトにパスワードが漏れてしまうことがあります。(例えばリンク先サイトにアクセス解析が設置してある場合など)
この問題を回避するには通常のリンク処理ではなく、クッションページを経由してリンクさせるなどの工夫が必要になります。
クッションページを経由すれば HTTP_REFERER が空、もしくはクッションページのURLになり、こちら(アクセス元)の所在を隠すことができます。
改造方法
cbbs.cgi(130行目)
$url="<a href=\"http://$url\" target=$TGT>$i_or_t</a>";
▼以下に変更
$url="<a href=\"http://www.example.com/hrs.cgi?url=http://$url\" target=\"$TGT\">$i_or_t</a>";
上記
www.example.comは変更してください。
cbbs.cgi(2338行目)
$_[0]=~ s/([^=^\"]|^)((http|ftp|https)\:[\w\.\~\-\/\?\&\+\=\:\@\%\;\#\,\|]+)/$1<a href=$2 target=$TGT>$2<\/a>/g;
▼以下に変更
$_[0]=~ s/([^=^\"]|^)((http|ftp|https)\:[\w\.\~\-\/\?\&\+\=\:\@\%\;\#\,\|]+)/$1<a href=\"http:\/\/www.example.com\/hrs.cgi?url=$2\" target=\"$TGT\">$2<\/a>/g;
上記
www.example.comは変更してください。
当サイトで改良したクッションページ用CGI(HRS ver1.01)は
こちらから ダウンロードできます。
解凍した hrs.cgi はなるべくサイトのルートに設置してください。
CGI専用サーバの場合はCGIサーバのルートに設置してください。
それでは実際にアクセスしてHTTP_REFERERが空になるかどうか試験してみます。
▼診断くんの HTTP_REFERER が (none) になっていれば成功です。
補足:
hrs.cgi は Child Tree だけではなく他のCGIに組み込んだり一般のHTMLページからも利用できます。
◆このページの感想・ご意見などお気軽にお寄せください。(全角40文字まで)
Copyright© WebCraft All Rights Reserved.
http://www.sippu.com Since:9.13.2002
