Namazu-devel-ja(旧)

["TAKAGI, Hiromitsu" <takagi.hiromitsu@xxxxxxxxxx>]

On Tue, 26 Mar 2002 13:58:44 JST 
knok@xxxxxxxxxxxxx (NOKUBI Takatsugu) wrote:
>   おそらく read_headfoot() 等から nmz_warn_printf() を呼び出して出力さ
> れたものだと思います。これは stderr に出力する関数なのですが、Unix で 
> apache 等で利用している分には、stderr の出力は HTTP の出力には反映され
> ない(error.log 等に出力される)ので問題にならないようです。
>   IIS は違うようですが、apache 以外でも同様の挙動をする実装がないとは
> いいきれません... ということで確かに問題ですね。

なるほど。（他のものでも影響が出そうな話ですね。）

>   IIS はあまり使ったことがないのでよくわかりませんが、どなたか有効そう
> な workaround をご存知ないでしょうか?

>   それからどのように修正すべきかも問題ですが、
> 1. nmz_warn_printf の出力を抑制可能に
> 2. nmz_warn_printf の出力を escape
>   どちらが良いでしょうか? 前者は完全な対応とはいいがたいですが、escape
> を期待しない環境では後者だと困ることもありそうです。

error.logというプレインテキストのファイルに出力されるメッセージが、
HTMLのエスケープがされているというのは、技術的に変であるのが技術者とし
て耐え難いところですが、なんでもエスケープしておけば安全側に倒したこと
になる…のだろうか。

（別の話題ですが、Contenet-Type: text/plain な応答でも、内容にHTMLっぽ
いタグが含まれていると、IEが勝手にHTMLとして解釈してしまう（Operaもだっ
たかも）ため、クロスサイトスクリプティング問題を起こすというやっかいな
問題があったりして、頭が痛いです。）

やっぱり嫌なので、

  3. nmz_warn_printf の出力先を stderr ではなく用意したファイルにする

というのはどうでしょうか？ 

もしかして、上のメッセージは namazu コマンドの部分が出しているのでしょ
うか。だとしたら上の仕様は気持ち悪いですから、namazu.cgi から namazu 
を呼び出すときに、stderr をファイルにリダイレクトする、とかできませんか？


高木 浩光＠独立行政法人産業技術総合研究所
http://staff.aist.go.jp/takagi.hiromitsu/