さとぴあ

icon indicating a website link https://paintbbs.sakura.ne.jp/

icon location japan icon location お絵かき掲示板 Petit Note https://paintbbs.sakura.ne.jp/

Results 6 issues of さとぴあ

The color picker is not displayed correctly and becomes white.

Several ChickenPaint users on my site have reported that when trying to interact with the ChickenPaint color picker, the squares in the color picker turn white. The OS is win10,...

Aspect ratio is broken when iPad is turned from landscape to portrait in full screen mode

2 comment

i don't have an ipad but,I have a drawing site. Some users of that site are iPad users. This is probably an issue that only occurs on iPads or iPhones....

I want to redraw from a `.tgkr` file while retaining layer information

2 comment

``` Tegaki.open({ replayMode: true, replayURL: 'https://path/to/replay.tgkr' // Store replay files preferably with the .tgkr extension }); ``` By reading the `.tgkr` file and reproducing the drawing procedure, I were able...

It would be great if the include a Bézier curve functionality in the shape tool of Klecks

I run PaintBBS, ChickenPaint, and a forum where you can draw with klecks, but klecks doesn't have a Bézier curve function. Therefore, people who draw with a mouse and Bézier...

enhancement

We accept installation questions and specification requests.

6 comment

I translate English into Japanese and read it with Google Translate. My native language is Japanese. [Support BBS](https://pbbs.sakura.ne.jp/cgi/neosample/support/)in Japanese. If you don't mind Japanese, you can also use the Japanese...

POTI-board v2.26.0以前の古いバージョンに存在するXSS脆弱性について

## v2.26.0を含むv2.26.0以前のバージョンのPOTI-boardにはXSSの脆弱性があります。 ### 悪意のあるJavaScriptが実行される危険性 `javascript:alert('xss');`というスクリプトはただ、xssというalertを出すだけで無害です。 しかし、このalertが開く環境では任意のJavaScriptが実行可能です。 POTI-boardのログファイルに格納される時にこのサンプルプログラムはエスケープされて、`javascript:alert('xss');`となります。 ログファイルに格納する時にエスケープするのは誤りという意見がある事は知っていますが、ここでは触れません。 この値がURL欄に未チェックで出力されると `URL` となり、URL欄をクリックした時にJavaScriptが実行されます。 例えばcookieの内容を外部に送信するような悪意のあるJavaScriptも実行可能です。 別タブで開く`target="_blank"`になっているため、ChromeやFirefoxではJavaScriptの実行がブロックされますが、IE11ではJavaScriptが実行される危険があります。 v2.26.1以後のバージョンでは、出力時にURLとして正しいかどうかを検証フィルタに通して調べています。 すでにログファイルにこのJavaScriptが混入していたとしてもURLとして正しくない形式の時は空白を返します。 URL欄には何も表示されません。 ### POTI-board改 v1.50.9 lot.190115 で行った対策 - [urlに不正な値が入らないように。](https://github.com/satopian/poti-kai/commit/a7059a73e23e5edb7dc748f6f7cd12b08e0039ca#diff-243b31f7bf3b2ae097c74e75f4ec956e05d042003c626e4eb800fefd9afa3796) ここで、URL入力欄にJavaScriptが入らないようにするための入力値の検証を追加しています。 しかし、この対策では不十分です。 入力された値を検証してJavaScriptがURL欄に入らないようにしたとしても、いったん入力されたJavaScriptがログファイルに残っていればそのJavaScriptは実行可能です。 ### POTI-board改二 v2.26.1 lot.210214.0...