はじめまして、よろしくお願いいたします。
早速ですが、質問が2点あります。
①セキュリティ診断の結果、XSSの脆弱性があるという報告を受けました。アカウント表示機能のurlにスクリプトの埋め込みができる等…
moodleをバージョンすると改善されているのでしょうか。もしくは、他の対策はございますか。moodle3.8.3を使用しています。
②アカウント登録フォームに都道府県名を入力する欄がありますが、これらを非表示(削除)することは可能でしょうか。
以上、よろしくお願いいたします。
> もしくは、他の対策はございますか。
ModSecurity (https://www.modsecurity.org/) の導入ではいかがでしょうか。
> アカウント登録フォームに都道府県名を入力する欄がありますが、これらを非表示(削除)することは可能でしょうか。
可能です。
Sebastian Venckenさんの以下の投稿が参考になるかと思います。
[oodle in English: Cannot hide 'city' and 'country' in registration form]
https://moodle.org/mod/forum/discuss.php?d=368664#p1488154
テーマAdaptableでしたら以下の手順で当該CSSを適用できるかと思います。
※1 Sebastian VenckenさんのCSS
#page-login-signup .fcontainer .form-group:nth-child(5) {
display: none;
}
#page-login-signup .fcontainer .form-group:nth-child(6) {
display: none;
}
> Sebastian VenckenさんのCSSを使うと下記の出力画面上で表示されるフォームの修正ができるで認識合いますでしょうか。
Sebastian VenckenさんのCSSでは本投稿の添付画像のように「Eメールによる自己登録」が有効にされたMoodleサイトで「新しいアカウントを作成する」ボタンをクリックした場合に表示される「アカウント登録フォーム」の都道府県および国を非表示にします。
「新規アカウント追加」「既存アカウント編集」の2箇所でしたら、以下の手順で「都道府県」を非表示にできるかと思います。
※1 「都道府県」を消すためのCSS
#fitem_id_city {
display: none;
}