「OWASP Japan 1st Chapter Meeting」へのコメント
「水無月ばけらのえび日記 : OWASP Japan 1st Chapter Meeting」について、5件のコメントが書かれています。
[7220] Re:「OWASP Japan 1st Chapter Meeting」
えむけい (2012年3月31日 1時54分)
CSP時代への布石としてDOCTYPE宣言の前にコメントを書くことを布教して回るしか【違】。
<!----><!DOCTYPE html><meta charset=UTF-8><meta http-equiv="X-Content-Security-Policy" content="default-src 'self'"><meta charset=UTF-8><meta http-equiv="X-WebKit-CSP" content="default-src 'self'"><body><script src="#">
alert(1);
//</script></body>
FirefoxはmetaでのCSP指定に対応していませんが、少なくともChromeを貫通することは確認済みです。
ちなみにscript要素のsrc属性に指定されたリソースを解釈するときContent-Typeを(charset以外)無視するのはHTML5の仕様です。明示的に無視するとは書かれていないようですが、"the script block's type"はアルゴリズムを見るかぎりContent-Typeメタデータと無関係に設定されます。
http://dev.w3.org/html5/spec/single-page.html#execute-the-script-block
http://dev.w3.org/html5/spec/single-page.html#the-script-block-s-type
Web Workersの仕様の備考にも無視されると書かれています。
[7468] 未承認メッセージ (投稿元:208.66.72.114)
avjwqjrdsc (2012年7月27日 5時35分)
(この記事は承認されていないため、管理者が許可するまで公開されません。)
[7787] 未承認メッセージ (投稿元:46.21.144.52)
xeltfgyxaui (2012年10月31日 2時54分)
(この記事は承認されていないため、管理者が許可するまで公開されません。)
「水無月ばけらのえび日記 : OWASP Japan 1st Chapter Meeting」についてコメントを書く場合は、以下のフォームに記入してください。