[4779] Re: 「JavaScript のリテラルに任意の文字列を出力してみる」

記事個別表示 (4779)

これは「水無月ばけらのえび日記 : JavaScript のリテラルに任意の文字列を出力してみる」に関連するコメントです。

[4779] Re: 「JavaScript のリテラルに任意の文字列を出力してみる」

えむけい (2008年1月26日 5時6分)

>>・XHTMLとして「正しく」解釈された場合

>>の意味がよくわかりません。XHTML(=XML)のコメント中では--は出現禁止(出現すると整形式ではなくなる)じゃありませんでしたっけ。

>　です。

>　なので、その禁止物がインジェクションされると困るという話です。

整形式制約違反は致命的エラーで、

http://www.w3.org/TR/xml/#dt-wfc

致命的エラーの場合XMLプロセッサは通常の処理を続けてはならないので、

http://www.w3.org/TR/xml/#dt-fatal

スクリプトが実行されたりすることはないと思います。

任意の文字列を入力できなければならないという要件なのに「--」を入力できないので仕様を満たしていないという点は困るかもしれませんが、少なくともこの点に関しては危険ではないはずです。

パーサが正しくないなら話は別ですが

> XHTML として「正しく」解釈された場合

とわざわざ断っているので余計に意味がわかりません。

これは「水無月ばけらのえび日記 : JavaScript のリテラルに任意の文字列を出力してみる」に関連するコメントです。
全読: [4775]Re: 「JavaScript のリテラルに任意の文字列を出力してみる」からのスレッド(8件)]
- [4775] Re: 「JavaScript のリテラルに任意の文字列を出力してみる」 : えむけい (2008年1月24日 7時27分)
  - [4776] Re: 「JavaScript のリテラルに任意の文字列を出力してみる」 : ばけら (2008年1月24日 13時16分)
    - [4779] Re: 「JavaScript のリテラルに任意の文字列を出力してみる」 : えむけい (2008年1月26日 5時6分)
      - [4782] Re: 「JavaScript のリテラルに任意の文字列を出力してみる」 : ばけら (2008年1月28日 13時52分)
  - [4777] Re: 「JavaScript のリテラルに任意の文字列を出力してみる」 : スターダスト (2008年1月24日 16時14分)
  - [4778] Re: 「JavaScript のリテラルに任意の文字列を出力してみる」 : びい (2008年1月25日 1時45分)
    - [4783] Re: 「JavaScript のリテラルに任意の文字列を出力してみる」 : ばけら (2008年1月28日 13時53分)
- [6080] 未承認メッセージ (投稿元:77.241.11.82) : fgouhiectz (2010年9月11日 5時46分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >>>・XHTMLとして「正しく」解釈された場合 >>>の意味がよくわかりません。XHTML(=XML)のコメント中では--は出現禁止(出現すると整形式ではなくなる)じゃありませんでしたっけ。 >>　です。 >>　なので、その禁止物がインジェクションされると困るという話です。 >整形式制約違反は致命的エラーで、 >http://www.w3.org/TR/xml/#dt-wfc >致命的エラーの場合XMLプロセッサは通常の処理を続けてはならないので、 >http://www.w3.org/TR/xml/#dt-fatal >スクリプトが実行されたりすることはないと思います。 >任意の文字列を入力できなければならないという要件なのに「--」を入力できないので仕様を満たしていないという点は困るかもしれませんが、少なくともこの点に関しては危険ではないはずです。 >パーサが正しくないなら話は別ですが >> XHTML として「正しく」解釈された場合 >とわざわざ断っているので余計に意味がわかりません。

新生鳩丸掲示板♯

記事個別表示 (4779)

[4779] Re: 「JavaScript のリテラルに任意の文字列を出力してみる」