GoogleスプレッドシートのA1セルにHTMLを書いてCSVで保存すると… | エンタープライズ | マイコミジャーナル
Google Docsスプレッドシートの最初のセルにHTMLを書いてCSVで保存すると… Google Docsには今のところワードプロセッサ、スプレッドシート、プレゼンテーションの3つのアプリケーションが用意されているわけだが、うちスプレッドシートアプリケーションにIEに関連した興味深い脆弱性があることが発覚した。これはセキュリティエンジニアのBilly Rios氏によって発見されたもの。すでに同脆弱性は修正されているが、Gmailのクロスサイトリクエスト偽装のときのように注意しておくべき内容だ。 この脆弱性(クロスサイトスクリプティング)を利用された場合、攻撃者はGoogleが提供しているGmailやGoogle Code、Google Docsのほかのサービスなど許可されていないサービスへのアクセスが原理的に可能になる。これはIEがContent-Typesの指定されたコンテンツの解
第11回 スクリプトインジェクションを防ぐ10のTips | gihyo.jp
前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。 デフォルト文字エンコーディングを指定 php.iniには、PHPが生成した出力の文字エンコーディングをHTTPヘッダで指定するdefault_charsetオプションがあります。文字エンコーディングは必ずHTTPヘッダレベルで指定しなければなりません。しかし、デフォルト設定ではdefault_charsetが空の状態で、アプリケーションで設定しなければ、HTTPヘッダでは文字エンコーディングが指定されない状態になります。 HTTPヘッダで文字エンコーディングを指定しない場合、スクリプトインジェクションに脆弱になる場合あるので、default_charsetには“UTF-8”を指定することをお勧めします。サイトによってはSJIS、EUC-JP
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
