フォーラム掲示板について

以下の目的、注意点などご確認いただき、ご使用ください。

目的
Connect-CMSのユーザやConnect-CMSに興味のある方同士で自由に意見交換できる場を提供する目的で、コミュニティ掲示板として提供しています。
投稿方法
このサイトにユーザー登録することで、投稿することができます。
投稿内容
投稿内容は公開されます。
Connect-CMSに無関係な内容が記載されたと判断した場合、削除することがあります。
バグ情報
バグ(不具合)はGithub のIssues(https://github.com/opensource-workshop/connect-cms/issues)に記載していただくと、開発者に伝わりやすくなります。
また、セキュリティなど重大な事象の場合は、お問い合わせページよりお知らせください。優先的に調査いたします。
また、貢献ガイド(https://connect-cms.jp/abount/contributions)も参照をお願いします。
ユーザ登録
当サイトへのユーザ登録は以下のお問い合わせフォームよりお願いいたします。
https://connect-cms.jp/contact

フォーラムでのサポート範囲

当フォーラムでは、Connect-CMSのトラブルなどの相談も記載いただけますが、作業を肩代わりするものではありません。
作業の依頼は、株式会社オープンソース・ワークショップの調査メニューなどをご検討ください。
https://opensource-workshop.jp/service/rescue

フォーラム掲示板

外部ファイルの読み込み

2021年5月7日 21時56分 [公星]

 

「固定記事」の中に外部からphpファイルを読み込んでみました( サンプルページ )。
 → MySQLのデータを読み込んでいる 【 PDO 】
 → PHPのプログラミング処理が含まれている【 floatval() 】 

---

Connect-CMSはセキュリティへの配慮として
標準でいろいろな調整や制限をつけてくれています。
(例: <p>タグや<!-- -->の自動付与とか、システム/編集の権限設定とか)

その文脈に関わるものとしてお尋ねしますが、
上のような「プラグイン内で外部ファイルを読み込む」という使い方はやってもよいものでしょうか?

それとも、非推奨であり、
できればやらないでほしいという感じになるのでしょうか。

 

(更新:2021年5月8日 17時10分)
スレッドの記事一覧
外部ファイルの読み込み
2021-05-07 [公星]

 

「固定記事」の中に外部からphpファイルを読み込んでみました( サンプルページ )。
 → MySQLのデータを読み込んでいる 【 PDO 】
 → PHPのプログラミング処理が含まれている【 floatval() 】 

---

Connect-CMSはセキュリティへの配慮として
標準でいろいろな調整や制限をつけてくれています。
(例: <p>タグや<!-- -->の自動付与とか、システム/編集の権限設定とか)

その文脈に関わるものとしてお尋ねしますが、
上のような「プラグイン内で外部ファイルを読み込む」という使い方はやってもよいものでしょうか?

それとも、非推奨であり、
できればやらないでほしいという感じになるのでしょうか。

 

2021-05-07 [永原 篤]

公星様

こんばんわ。
株式会社オープンソース・ワークショップの永原です。

Connect-CMSの基本的な考え方から、お返事いたします。
ちゃんとまとめ切れているわけじゃないので、まずは意図が伝わればよいな。くらいの感じです。
(もう、晩ごはん作って子どもたちに食べさせて、自分もだいぶ酔っている時間ですので(笑))

Connect-CMSは、Society5.0 をはじめ、これから、我々の世界で必要となる情報共有のプラットフォームとして開発しています。
その際、開発元の我々だけが唯一の正解ではなく、多くの人が様々な使い方や正解を生み出すための土壌として作っています。
一方、IT 化が進んできた現在は、セキュリティに対する専門知識が膨大且つ複雑になり、一般の人には理解しずらい状況になっていると考えています。

そのような世界の中、専門知識を網羅しない人でも、状況共有ができたり、拡張機能を開発しやすい状況を作りたいと思っています。
多くの人の意識を、特に、これから世界を作る人たちが。創造したことをできるだけ簡単に開発できるように、つなげたいのです。

そのため、Connect-CMSはオープンソースというライセンスを採用しています。

そういう考え方をしていますので、今回の件、とても興味があります。
セキュリティを担保する上でも、個別に連絡をいただくことは、できますでしょうか?

どういう方法で外部ファイルを読み込みたいのかなど、技術的なことを含めて、情報共有・情報交換したいです。
万が一のセキュリティへの考慮も踏まえてできればまずは、メールなどで個別にやり取りしたいです。
ということで、当サイトの管理としても、一度、メールで連絡させていただきますね。

良い方法ができれば、一緒に、他の方へも情報共有できればと思っています。

以上、まずは掲示板での返信にて失礼いたします。

2021-05-08 [永原 篤]

みなさま、こんにちは。
株式会社オープンソース・ワークショップの永原です。

外部ファイルの読み込みについて、ここに報告いたします。

尚、公星様には方法やサンプル(掲示板に示していただいています)など情報提供していただいたことにお礼申し上げます。
ありがとうございます。

今回の方法は、JavaScript(jQuery)を用いて、外部のPHPファイルを読み込み、その結果をWebサイトに表示するという方法です。

Connect-CMSでは、WYSIWYG にJavaScript等 の書き込み権限のあるユーザは、JavaScript等を記載することができます。

結果、外部のPHPファイルを読み込み、その結果をWebサイトに表示するという方法が可能です。
これは、Connect-CMS として、禁止したり、非推奨としているものではありません。

ただし、以下の点についてはご理解いただけるよう、Connect-CMS をお使いの皆さまにお願いしたいと考えています。

  • WYSIWYG でJavaScript等 の書き込みを行うことは、サイトのセキュリティ・レベルを下げることになる可能性もあります。
  • 管理者がJavaScript等 の書き込みを行うことは、そもそも自分のサイトなので、意図した動きとして、問題はないかと考えています。
  • ただし、管理者でも、自分の管理していない外部のプログラムを呼ぶ場合は、十分に注意が必要です。
  • もっとも注意が必要なのは、管理者以外がWYSIWYG でJavaScript等 の書き込みを行う際かと考えています。
  • Connect-CMS では、管理メニューのセキュリティ管理で「HTML記述制限」が権限毎に設定できます。
    https://connect-cms.jp/manual/manager/security
  • 「HTML記述制限」の設定を理解していただき、運用をお願いいたします。

Connect-CMS では、セキュリティも担保しながら、新しい技術の利用も行えるようにしていきたいと考えております。

今後とも、皆様の様々なご要望を聞かせていただき、意見交換の中から、より良いものを生み出していきたいと考えております。

以上、失礼いたします。