text/perlscript
2009年5月25日(月曜日)
text/perlscript
更新: 2024年4月24日20時45分頃
「人気が出れば出るほど、Webブラウザは遅くなる (slashdot.jp)」という話が出ていますが、中に興味深いコメントが。
ActivePerlを使っている人は知ってると思うけど、ActivePerlをインストールするとPerlScript [activestate.com]も書けますよ。
これは知りませんでした。確かに、以下のようなものをローカルで表示してみると動作しますね。
<script type="text/perlscript">$window->alert('PerlScript');</script>
これは新しいXSSのパターンが出るか!? と思いきや、http://bakera.jp/bug/perlscripttest.html に置いてみても動作せず。中身を保存してローカルで開くと動作するので、どうもローカルでしか動作しないように思います。そういうものなのですかね?
……と書いていたら、ZnZさんからコメントをいただきました(ありがとうございます)。レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\ActiveState\PerlScript\1.0 に値を設定することで、どのゾーンで動作するか指定できるようです。デフォルトでは 0x0010 になっていてローカルでしか動作しませんが、この値をたとえば 0x0001 にすると、あらゆるゾーンで動作するようになります。
この値についてはHow can I configure client-side PerlScript security? (docs.activestate.com) に書かれていて、そこにはこのような記述もあります。
Note: By default, PerlScript is only enabled in IE's Local zone. Enabling PerlScript any other zones is not recommended. It allows websites to execute Perl code on the local machine as the current user.
というわけで、デフォルト以外の設定にすることは推奨されないようです。
- 「text/perlscript」へのコメント (2件)
- 前(古い): Google Chrome 2.0
- 次(新しい): 配達あかずきん
