タグ

ブックマーク / 0-9.tumblr.com (1)

  • RDocの脆弱性情報に見るjQueryの安全な使い方

    2013-02-06に以下の脆弱性情報が公開されました。 RDoc で生成した HTML ドキュメントにおける XSS 脆弱性 (CVE-2013-0256) これはRDocの脆弱性情報ですが、実際にはdarkfish.jsというファイルの修正のみでありJSの問題であることがわかります。 問題のdarkfish.jsを確認すると該当の処理は「var anchor = window.location.hash.substring(1);から取得した値を$(“a[name=” + anchor + “]”);に渡した」処理であったことがわかります。 (このファイルが脆弱性情報のファイルと同じかは確認してないですが、ファイル名とコードから同一と判断しました) 修正方法としては$(“a[name=” + anchor + “]”)でのセレクター埋め込みをやめて$(“a[name]”).eachのe

    RDocの脆弱性情報に見るjQueryの安全な使い方
    ghostbass
    ghostbass 2013/02/08
    何故要素の生成を$.create("tagname")とかにしないのでしょうか。
  • 1