[3403] Re: XSSの危険性について

記事個別表示 (3403)

かんな (2006年2月26日 1時51分)

><META HTTP-EQUIV="Link" Content="<http://example.com/xss.css>; REL=stylesheet">

Opera 9.0 <http://snapshot.opera.com/windows/w90p1.html>でサポートされるHTTP Link headerというやつですね?スタイルシートをXML文書に結びつける<http://www.doraneko.org/xml/stylesheet10/19990629/Overview.html>に書かれている、"リンク情報をソース文書の中に組み込まないかもしれない"という手法の一つでしょうか。私の記憶では、もう廃案になったような気のせいがしますけれど。

#でもこれ、属性値に<>が含まれているので、invalidなのでは……?

それにしても一日に似たようなXSS脆弱性を二つ見つけるっていうのは、どういう奇遇でしょうか。一つは日本でよく利用されている(らしい)ウェブアプリケーションなのですが、もう一つは国外なので悩ましいところです。もっとも後者にはある意味で普段からお世話になっているし、今後も何度か利用する機会のあるサイトなので、何とかしておきたいところです。

全読: [3401]XSSの危険性についてからのスレッド(8件)]
- [3401] XSSの危険性について : かんな (2006年2月25日 9時42分)
  - [3402] Re: XSSの危険性について : スターダスト (2006年2月25日 15時12分)
    - [3403] Re: XSSの危険性について : かんな (2006年2月26日 1時51分)
      - [3404] Re: XSSの危険性について : えむけい (2006年2月26日 2時13分)
      - [3407] Re: XSSの危険性について : かんな (2006年2月27日 13時7分)
      - [3826] 未承認メッセージ (投稿元:59.20.143.125) : gidnol nyzjh (2006年8月23日 0時30分)
  - [3405] Re: XSSの危険性について : スターダスト (2006年2月26日 23時28分)
    - [3406] ところでsnipのマークアップって(was:Re: XSSの危険性について) : スターダスト (2006年2月26日 23時32分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >><META HTTP-EQUIV="Link" Content="<http://example.com/xss.css>; REL=stylesheet"> > >Opera 9.0 <http://snapshot.opera.com/windows/w90p1.html>でサポートされるHTTP Link headerというやつですね?スタイルシートをXML文書に結びつける<http://www.doraneko.org/xml/stylesheet10/19990629/Overview.html>に書かれている、"リンク情報をソース文書の中に組み込まないかもしれない"という手法の一つでしょうか。私の記憶では、もう廃案になったような気のせいがしますけれど。 > >#でもこれ、属性値に<>が含まれているので、invalidなのでは……? > >それにしても一日に似たようなXSS脆弱性を二つ見つけるっていうのは、どういう奇遇でしょうか。一つは日本でよく利用されている(らしい)ウェブアプリケーションなのですが、もう一つは国外なので悩ましいところです。もっとも後者にはある意味で普段からお世話になっているし、今後も何度か利用する機会のあるサイトなので、何とかしておきたいところです。