URLs für Links im ReportGenerator richtig escapen.
authorBernd Bleßmann <bernd@kivitendo-premium.de>
Wed, 29 Jan 2014 13:36:06 +0000 (14:36 +0100)
committerBernd Bleßmann <bernd@kivitendo-premium.de>
Wed, 29 Jan 2014 13:36:06 +0000 (14:36 +0100)
templates/webpages/report_generator/html_report.html

index 7190865..2b169ab 100644 (file)
@@ -35,7 +35,7 @@
      [%- IF col.align %] align="[% HTML.escape(col.align) %]" style="text-align: [% HTML.escape(col.align) %]"[% END -%]
      [%- IF col.colspan && col.colspan > 1 %] colspan="[% HTML.escape(col.colspan) %]"[% END -%]
      >
-      [%- IF col.link -%]<a class='report-generator-header-link' href="[% col.link %]">[%- END -%]
+      [%- IF col.link -%]<a class='report-generator-header-link' href="[% HTML.escape(col.link) %]">[%- END -%]
       [%- col.text -%]
       [%- IF col.show_sort_indicator -%]<img border="0" src="image/[% IF col.sort_indicator_direction %]down[% ELSE %]up[% END %].png">[%- END -%]
       [%- IF col.link -%]</a>[%- END -%]
@@ -63,7 +63,7 @@
        [%- ELSE %]
         [%- USE iterator(col.CELL_ROWS) %][%- FOREACH cell_row = iterator %]
          [%- IF cell_row.data != '' %]
-          [%- IF cell_row.link %]<a href="[% cell_row.link %]">[%- END %]
+          [%- IF cell_row.link %]<a href="[% HTML.escape(cell_row.link) %]">[%- END %]
           [%- cell_row.data %]
           [%- IF cell_row.link %]</a>[%- END %]
          [%- END %]