【カラーミーショップ】フリーページのリンクに「 < a data-cke-saved-href=」が入る

IE9で「クロスサイトスクリプトを防止するために、このページは変更されました」

カラーミーショップを使っているお客さんから、「フリーページに設置したリンクを押すとこのエラーが出てしまいます」との問い合わせ。

クロスサイトスクリプティングの防止?

色々調べてみると、カラーミーのHTMLエディタは「CKEditor」を使っていることが判明。
HTMLビューからソースビューに切り替える際に、「&」などのエスケープを自動的にしてくれるようですが、
(具体的には「< % [ ] * ? & >」といった記号)
aタグやimgタグの中でスクリプトを埋め込むと、その部分をブラウザで走らせないように自動的に「< a data-cke-saved-href=」という接頭辞が埋め込まれる?ようなのですが、再現できませんでした。

CKEditorのフォーラムに同じようなトピックがありましたが、バージョンが古いのと、事象が出ているソースを入れてみても再現できず…
Re: &lt;a data-cke-saved-href= gets put in my links. Why?

様子を見てみたいと思います。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA