Fixed bug #12016: JS and CSS inclusion may contain path/../path2/file
authorSteffen Kamper <info@sk-typo3.de>
Sun, 20 Sep 2009 18:11:58 +0000 (18:11 +0000)
committerSteffen Kamper <info@sk-typo3.de>
Sun, 20 Sep 2009 18:11:58 +0000 (18:11 +0000)
git-svn-id: https://svn.typo3.org/TYPO3v4/Core/trunk@6020 709f56b5-9817-0410-a4d7-c38de5d9e867

ChangeLog
t3lib/class.t3lib_pagerenderer.php

index 44ba3b5..9b2e28a 100755 (executable)
--- a/ChangeLog
+++ b/ChangeLog
@@ -22,6 +22,7 @@
 
 2009-09-20  Steffen Kamper  <info@sk-typo3.de>
 
+       * Fixed bug #12016: JS and CSS inclusion may contain path/../path2/file
        * Fixed bug #11933: FrontendEditing (classic) does not work when editing forms on page
 
 2009-09-19  Francois Suter  <francois@typo3.org>
index a2f00f5..90bb9bc 100644 (file)
@@ -956,6 +956,7 @@ class t3lib_PageRenderer implements t3lib_Singleton {
 
                if (count($this->cssFiles)) {
                        foreach ($this->cssFiles as $file => $properties) {
+                               $file = t3lib_div::resolveBackPath($file);
                                $tag = '<link rel="' . $properties['rel'] . '" type="text/css" href="' . $file . '" media="' . $properties['media'] . '"' . ($properties['title'] ? ' title="' . $properties['title'] . '"' : '') . ' />';
                                if ($properties['allWrap'] && strpos($properties['allWrap'], '|') !== FALSE) {
                                        $tag = str_replace('|', $tag, $properties['allWrap']);
@@ -983,6 +984,7 @@ class t3lib_PageRenderer implements t3lib_Singleton {
 
                if (count($this->jsLibs)) {
                        foreach ($this->jsLibs as $name => $properties) {
+                               $properties['file'] = t3lib_div::resolveBackPath($properties['file']);
                                $tag = '<script src="' . $properties['file'] . '" type="' . $properties['type'] . '"></script>';
                                if ($properties['allWrap'] && strpos($properties['allWrap'], '|') !== FALSE) {
                                        $tag = str_replace('|', $tag, $properties['allWrap']);
@@ -1006,6 +1008,7 @@ class t3lib_PageRenderer implements t3lib_Singleton {
 
                if (count($this->jsFiles)) {
                        foreach ($this->jsFiles as $file => $properties) {
+                                       $file = t3lib_div::resolveBackPath($file);
                                        $tag = '<script src="' . $file . '" type="' . $properties['type'] . '"></script>';
                                        if ($properties['allWrap'] && strpos($properties['allWrap'], '|') !== FALSE) {
                                                $tag = str_replace('|', $tag, $properties['allWrap']);