記事個別表示 (7220)
これは「水無月ばけらのえび日記 : OWASP Japan 1st Chapter Meeting」に関連するコメントです。
[7220] Re:「OWASP Japan 1st Chapter Meeting」
えむけい (2012年3月31日 1時54分)
CSP時代への布石としてDOCTYPE宣言の前にコメントを書くことを布教して回るしか【違】。
<!----><!DOCTYPE html><meta charset=UTF-8><meta http-equiv="X-Content-Security-Policy" content="default-src 'self'"><meta charset=UTF-8><meta http-equiv="X-WebKit-CSP" content="default-src 'self'"><body><script src="#">
alert(1);
//</script></body>
FirefoxはmetaでのCSP指定に対応していませんが、少なくともChromeを貫通することは確認済みです。
ちなみにscript要素のsrc属性に指定されたリソースを解釈するときContent-Typeを(charset以外)無視するのはHTML5の仕様です。明示的に無視するとは書かれていないようですが、"the script block's type"はアルゴリズムを見るかぎりContent-Typeメタデータと無関係に設定されます。
http://dev.w3.org/html5/spec/single-page.html#execute-the-script-block
http://dev.w3.org/html5/spec/single-page.html#the-script-block-s-type
Web Workersの仕様の備考にも無視されると書かれています。
これは「水無月ばけらのえび日記 : OWASP Japan 1st Chapter Meeting」に関連するコメントです。
全読: [7220]Re:「OWASP Japan 1st Chapter Meeting」からのスレッド(5件)]