エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント1件
- 注目コメント
- 新着コメント
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
はてなダイアリーでJavaScriptが発動した(過去形) - 勝手に将棋トピックス
2月8日の続き。 1月9日に長々と書いたように、はてなダイアリーはセキュリティを保つため様々な対策を行... 2月8日の続き。 1月9日に長々と書いたように、はてなダイアリーはセキュリティを保つため様々な対策を行っています。その一つがはてなダイアリーXSS対策です。 昨日書いた脆弱性の内容を一言で言うと、はてなダイアリーの引用に関する機能でここで示された手順が守られていない部分があったということになります。具体的には第3段の次の箇所です。 href,src,cite,background 属性で外部 URL が参照される場合、URL が適切な文字で構成されているかチェックを行ないます。 2月7日に書いたように、はてなダイアリーでは引用の際に自動的に引用元にリンクを張る機能があります。この自動的に生成されるリンクで、上のチェックが行われていませんでした。そのため「JavaScript:」で始まるURIも通ってしまい、結果的にJavaScriptが利用できることになります。はてなでJavaScript
2005/04/20 リンク