cfform タグでaction属性を指定しない場合の動作の変更について

ColdFusion 9.0.2, ColdFusion 10 または、セキュリティアップデートを適用した ColdFusion 8.0.x, 9.0.0, 9.0.1の環境にて、<cfform>タグでaction属性を指定しない場合の動作が以前と異なります。

この動作変更は、2011年12月に公開されたセキュリティアップデート(APSB11-29)の修正によるもので、<cfform>タグを使用する際にaction属性を指定しない自己送信フォームとした時の処理において確認されたセキュリティ問題への対応となります。

 

<cfform>タグに action属性を指定しない場合の動作

  • セキュリティアップデートを適用していない ColdFusion 8.0.x, 9.0.0, 9.0.1
    • 結果として生成される<form>タグにaction属性が自動生成され、自己送信フォーム用のURLが付加されます。
  • ColdFusion 9.0.2、および、セキュリティアップデートを適用したColdFusion 8.0.x, 9.0.0, 9.0.1
    • 結果として生成される<form>タグに action属性は自動生成されません。
  • ColdFusion 10
    • 結果として生成される<form>タグに、エンコードされたURLが付加されたaction属性が自動生成されます。

 

<form>タグにaction属性が付加されていない場合の動作はブラウザに依存するため、開発元では、自己送信フォームの場合にも<cfform>タグにはaction属性を省略しないで記載する事を推奨しています。ただ、何らかの原因によって以前の動作に戻したい場合には、JVM にフラグを追加して以前の動作に戻します。

※以前の動作に戻すということは、潜在的なセキュリティリスクを含むということになります。設定を戻す場合には、その影響を受けないために、全ての<cfform>タグにaction属性を指定するなどの対策を行って下さい。

 

 

 


記事公開日:2013年05月31日
最終更新日:2013年06月03日


x

Sample Modal Window

This is just a sample…

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Praesent suscipit iaculis libero sed tristique. Quisque mollis dolor non tellus placerat vitae sodales lectus porta. Curabitur ut suscipit tellus. Maecenas rhoncus, ante vitae vehicula vestibulum, metus sapien dapibus tellus, et mattis dolor neque vitae nisl. Nullam eleifend ultrices ipsum eget pretium. Curabitur semper metus ut ante adipiscing nec volutpat sem rutrum. Nullam a nisi lacus, non interdum ante. Vivamus ante augue, commodo vel egestas sed, pharetra nec dui. Quisque sed tellus felis. Donec ipsum mauris, sagittis eu accumsan in, aliquam non ipsum.

Vestibulum tempor nunc nec felis scelerisque eget elementum erat dignissim. Ut vel ipsum mollis orci venenatis luctus. Aenean vehicula quam vel quam porttitor ac iaculis elit pulvinar. Proin consequat, ipsum eu venenatis semper, justo turpis posuere tortor, ac placerat metus nisl et lectus. Nulla cursus dui id nunc ullamcorper sed semper nisl lobortis. Aliquam erat volutpat. Phasellus arcu ante, imperdiet in ornare sed, laoreet eu massa.