セキュリティの設定
許可するHTMLタグ
許可するHTMLタグはリッチテキストや直接HTMLを入力できる項目で使用を許可するHTMLタグです。ここに含めていないタグを危険なものとして、Contaoは削除します。初期状態では以下のタグを許可しています。
<a><abbr><acronym><address><area><article><aside><b><big><blockquote><br><base>
<bdo><button><caption><cite><code><col><colgroup><dd><del><div><dfn><dl><dt><em>
<figure><figcaption><form><fieldset><hr><h1><h2><h3><h4><h5><h6><i><img><input>
<ins><label><legend><li><link><map><object><ol><optgroup><option><p><pre><param>
<q><section><select><small><span><strong><sub><sup><style><table><tbody><td>
<textarea><tfoot><th><thead><tr><tt><u><ul>デバッグモードを有効
デバッグモードはデータベースの問い合わせなどをブラウザーの画面に表示する機能です。
- デバッグモードを選択すると、データベースの問い合わせなどの情報をブラウザーの画面に(混ぜて)表示します。
- 初期状態では非選択です。
エラーメッセージを表示と同様に開発中のデバッグや障害の調査に役立つ可能性がありますが、公開している実運用のサイトでは必ず非選択にします。
を選択すると、Contaoの標準配布に含まれるモジュールだけ動作させるContaoセーフモードで動作します。
ライブアップデートを実行した場合、自動的にこのモードが有効になる場合があります。
エラーメッセージを表示
エラーメッセージを表示は、名前そのままでエラーが発生したときのメッセージの表示方法を指定します。
- エラーメッセージを表示を選択すると、ブラウザーの画面に(混ぜて)表示します。
- 初期状態は非選択です。
何かの開発中のデバッグや障害の調査に役立つ場合がありますが、公開している実運用のサイトでは必ず非選択にします。
を選択すると、発生したエラーをログ(system/logs/error.log)に記録します。
初期状態で選択した状態となっています。
リクエストトークンを不使用
初期状態では非選択で、選択すると潜在的なセキュリティ上の危険が発生します。(しかし、機能拡張の都合や動作上の問題で選択しなければならない場合もあるかもしれません。)
Contaoはセッションの検証にクライアントのIPアドレスをパラメーターに含めています。はクライアントのIPアドレスをパラメーターに含めるかどうかを指定します。
- 初期状態では非選択です。
- 選択すると、セッションの検証にクライアントのIPアドレスをパラメーターとして使用しないようにします。
- 選択すると、潜在的なセキュリティ上の危険性が発生します。
本当に必要でない限り、選択すべきではありません。