legacy-knowledge-base
公開されました Jun. 30, 2025

アナリティクスのセクションにスクリプトがあることは、潜在的なXSSの脆弱性として認められるのでしょうか?

written-by

Christopher Lui

How To articles are not official guidelines or officially supported documentation. They are community-contributed content and may not always reflect the latest updates to Liferay DXP. We welcome your feedback to improve How To articles!

While we make every effort to ensure this Knowledge Base is accurate, it may not always reflect the most recent updates or official guidelines.We appreciate your understanding and encourage you to reach out with any feedback or concerns.

legacy-article

learn-legacy-article-disclaimer-text

問題

Matomo (DXP 7.4)またはPiwiki (DXP 7.0-7.3)のフィールドにJavascriptのコードを置くことができます。

  1. サイトの設定 -> サイトの設定 -> Analyticsにアクセスする。
  2. MatomoまたはPiwikのフィールドの下に、以下のようなものを貼り付ける:
"><img src=x onerror=alert(origin)>

3. 保存をクリック

それ以降、ページにアクセスするたびにポップアップが表示されるようになる。

Environment

DXP 7.0+

解決策

Matomoのような解析サービスが動作するためには、Javascriptを許可する必要があるからだ。
Matomoが不要な場合は、以下の方法で無効にできる:

  1. コントロールパネル」-「インスタンス設定」-「プラットフォーム」-「アナリティクス」に移動する。
  2. リストからマトモを削除し、保存する

現在、Matomoフィールドはサイト設定のオプションではなくなりました。

追加情報

フラグメントの中にスクリプトがあることは、潜在的なXSS脆弱性として認められるのか?

ボタンの断片の中にスクリプトがあることは、潜在的なXSS脆弱性として認められるのでしょうか?

did-this-article-resolve-your-issue

legacy-knowledge-base