水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > text/perlscript

text/perlscript

2009年5月25日(月曜日)

text/perlscript

更新: 2019年4月24日20時45分頃

人気が出れば出るほど、Webブラウザは遅くなる (slashdot.jp)」という話が出ていますが、中に興味深いコメントが。

ActivePerlを使っている人は知ってると思うけど、ActivePerlをインストールするとPerlScript [activestate.com]も書けますよ。

以上、Re:JavaScriptの部分だけ別にできないの? より

これは知りませんでした。確かに、以下のようなものをローカルで表示してみると動作しますね。

<script type="text/perlscript">$window->alert('PerlScript');</script>

これは新しいXSSのパターンが出るか!? と思いきや、http://bakera.jp/bug/perlscripttest.html に置いてみても動作せず。中身を保存してローカルで開くと動作するので、どうもローカルでしか動作しないように思います。そういうものなのですかね?

……と書いていたら、ZnZさんからコメントをいただきました(ありがとうございます)。レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\ActiveState\PerlScript\1.0 に値を設定することで、どのゾーンで動作するか指定できるようです。デフォルトでは 0x0010 になっていてローカルでしか動作しませんが、この値をたとえば 0x0001 にすると、あらゆるゾーンで動作するようになります。

この値についてはHow can I configure client-side PerlScript security? (docs.activestate.com) に書かれていて、そこにはこのような記述もあります。

Note: By default, PerlScript is only enabled in IE's Local zone. Enabling PerlScript any other zones is not recommended. It allows websites to execute Perl code on the local machine as the current user.

というわけで、デフォルト以外の設定にすることは推奨されないようです。

関連する話題: Web / セキュリティ / Perl

最近の日記

関わった本など