ZAPスキャン: CalendarController (mode=edit_inline) のスクリプト追加 #6675
Description
概要
ZAPセキュリティスキャンにおいて、カレンダー設定画面(/admin/setting/shop/calendar)の mode=edit_inline をカバーするスクリプトが存在しません。
背景
PR #6619 のレビュー時に発見しました。管理画面で mode パラメータを使用するコントローラーを全件調査した結果、CalendarController のみスキャン対象外でした。
対象コントローラー
src/Eccube/Controller/Admin/Setting/Shop/CalendarController.php- ルート:
/admin/setting/shop/calendar(GET, POST) mode=edit_inline: インライン編集モード(handleRequestをスキップし、個別の定休日データを更新)
必要な作業
admin_shop_setting.zstにカレンダー設定のリクエストを追加、または専用のadmin_calendar.zstを新規作成mode=edit_inlineのPOSTリクエストを含むシーケンスを定義- 必要に応じて
.github/workflows/zaproxy.ymlのmatrixにターゲットを追加
参考
- 同じ
mode=edit_inlineを使用するTaxRuleControllerはadmin_tax.zstでカバー済み
Metadata
Metadata
Assignees
Labels
No labels