記事個別表示 (3481)
これは「水無月ばけらのえび日記 : CSRFとCSSXSSは分けて議論したい」に関連するコメントです。
[3481] Re: 「CSRFとCSSXSSは分けて議論したい」
えむけい (2006年4月8日 5時32分)
>ということですので、ActiveX コントロールも切るべきかと。 ある種のActiveX コントロールでは DOM を参照できるというように理解しております。cssTextなんちゃらは不要ということになりますね。
DOM経由でcssTextなんちゃらを参照するのだと思っていましたが。何か他の参照方法があるのでしょうか。
どっちにしろ「ActiveX コントロールとプラグインの実行」は切った方がいいと思いますが、それは「スクリプトを切ればいい」とされているほとんどすべての脆弱性にも同様に当てはまるので、CSRF対策においてだけ特別にスクリプトだけ無効にしても意味がないと誤解させかねない書き方になると問題があります。ただでさえCSSXSS対策とごっちゃになって訳が分からない状態になってるのに。
これは「水無月ばけらのえび日記 : CSRFとCSSXSSは分けて議論したい」に関連するコメントです。
全読: [3466]Re: 「CSRFとCSSXSSは分けて議論したい」からのスレッド(9件)]