新生鳩丸掲示板♯

> あるいはマイコンピュータゾーンでスクリプトを無効にすれば回避できるのかも知れませんが、試していません。

.htaの呼び出し自体はdataSrcでスクリプトを使わずにできますし、セキュリティゾーンの設定は.htaに対しては影響を及ぼさないのでスクリプトを無効にしても無駄無駄です。

ていうか静的なhtmlに対してはは塞いだけどdataSrcやcreatePopupで動的に生成すると貫通するというまったく同じパターンのホゥルが以前もあったというのがなんとも進歩のない感じです【謎】。

>.htaの呼び出し自体はdataSrcでスクリプトを使わずにできますし、セキュリティゾーンの設定は.htaに対しては影響を及ぼさないのでスクリプトを無効にしても無駄無駄です。

　情報ありがとうございます。

　実際にマイコンピュータゾーンのセキュリティレベルを変更して試してみましたが、やはり動作しましたね。

>ていうか静的なhtmlに対してはは塞いだけどdataSrcやcreatePopupで動的に生成すると貫通するというまったく同じパターンのホゥルが以前もあったというのがなんとも進歩のない感じです【謎】。

　いや全く。XML の中に object, という exploit のパターンにしても既に見たことありますしね……。

>「IE に特大ホゥル」

謎の鳩丸URNが【略】

>謎の鳩丸URNが【略】

　もうね(以下略)。

　直しました。ありがとうございます。