legacy-knowledge-base
公開されました Sep. 10, 2025

Liferay デフォルト ログアウト リンクの潜在的な CSRF (/c/ポータル/ログアウト)

written-by

Aaron Wang

How To articles are not official guidelines or officially supported documentation. They are community-contributed content and may not always reflect the latest updates to Liferay DXP. We welcome your feedback to improve How To articles!

While we make every effort to ensure this Knowledge Base is accurate, it may not always reflect the most recent updates or official guidelines.We appreciate your understanding and encourage you to reach out with any feedback or concerns.

legacy-article

learn-legacy-article-disclaimer-text

問題

  • Liferay DXP インスタンスのデフォルトのログアウト リンク (<Site address>/c/portal/logout) は、Liferay DXP インスタンスの外部、つまり HTML ファイルからアクセスできます。

再現する手順

1. Liferay DXP にログインします。
2. HTML ファイルを作成し、このファイル
3 に次の行 <a href="http://localhost:8080/c/portal/logout"/>クリック</a> を挿入します。 Chrome
4 で HTML ファイルを開きます。 管理者ユーザーでログインしたままにして、HTML ファイル
5 のリンクをクリックします。 管理者ユーザーとしてログインした Liferay DXP 7.2 ポータルを更新します。

結果: ログインしているユーザー (管理者ユーザー) がログアウトされます

Environment

  • Liferay DXP 7.2

解決策

  • LPS-13384 によると、この問題は現在のところ改善として分類されています。

did-this-article-resolve-your-issue

legacy-knowledge-base