CSSXSS対策された模様

更新: 2006年4月14日

本日のパッチによって、いわゆる CSSXSS の対策がなされたようです。同一ドメイン上の CSS の内容は読めますが、他ドメインの CSS に対して cssText プロパティを参照しようとすると、「アクセスが拒否されました」と言われて失敗します。

これにより、他ドメインの任意のコンテンツにアクセスできてしまうといったことはなくなったはずです。端的に言うと、Firefox と同様になったということですね。

※2006-04-14追記 : 一応の対策はなされたものの、完全に FIX したわけではなく、依然としてアクセスする方法があるようです。参考 : InternetExplorerのいわゆるCSSXSS脆弱性と4月度のセキュリティ更新プログラムについて(その２) (d.hatena.ne.jp)

※ちなみに Firefox の場合は DOM2-style (www.w3.org) 準拠で、document.styleSheets[0].cssRules[0].cssText などとしてアクセスすることができます。これも同一ドメインでは取得できますが、クロスドメインでは取得できません。