記事個別表示 (3461)
これは「水無月ばけらのえび日記 : CSRFの説明に追記」に関連するコメントです。
[3461] Re: 「CSRFの説明に追記」
スターダスト (2006年4月2日 21時18分)
>JSファイルはCSSXSSなんか使わなくてもクロスドメインで読める「仕様」だというのは以前そちらの日記【何処】に書いたと思いますが。
はい、その節はありがとうございました。その結果、某サイトは、'CSSXSS'を使わない、えむけいさんがおっしゃる方法による、アクセスからは、秘密情報を漏らさないようにJSファイルの中身を変更してい対応していました。
現在そのサイトでは、CSSXSSがなければ安全です。
ええと、ざっくばらんに言えば、そのJSファイルが、JSとして読み込まれれば、document.domainを自ら検査し、あらかじめ決められているドメイン以外なら、自分自身に記述してあるユーザのセンシティブがデータをnullで置き換えるというものです。そのソースを見たときには、ポンとひざを打ちました。こうしておけば、罠ページにあるJSからは、被害者サイトのJSがもたらすデータを取得してもnullになってしまいます。
これは「水無月ばけらのえび日記 : CSRFの説明に追記」に関連するコメントです。
全読: [3450]Re: 「CSRFの説明に追記」からのスレッド(16件)]