Masato Kinugawa Security Blog: jQuery Mobile 1.2 Beta未満は読み込んでいるだけでXSS脆弱性を作ります
(2012/9/25 最後に重要な追記があります。 ) jQuery Mobile 1.2 Betaがさきほどリリースされたようです。 タイトルの通り、それに満たないバージョンのjQuery Mobileには読み込んでいるだけでXSS脆弱性を作ってしまう問題があります。お使いの方はアップデートをお勧めします。 jQuery Mobile 1.2 Beta Released | jQuery Mobile http://jquerymobile.com/blog/2012/09/05/jquery-mobile-1-2-beta-released/ 以前の記事で触れた、一部のブラウザのlocation.hrefの挙動に絡むXSSが修正されています。 以下の件とは別の修正であることに注意してください。 jQuery MobileのXSSについての解説 - 金利0無利息キャッシング – キャッシ
jQuery 3未満のXSS脆弱性を修正する方法。jQuery1/2は最新版でも必要。|榊原昌彦
jQuery 3未満は、XSSの脆弱性を抱えています。 JVNは「リスク:低」に設定していますが、脆弱性として認定されてしまっているので対策しておくに越したことはありません。 対策jQuery 3にアップグレードすることが望ましいですが、それができない場合はjQueryを読み込んでるscriptタグのすぐ下に、以下を追記してください。 <script> jQuery.ajaxPrefilter( function( s ) { if ( s.crossDomain ) { s.contents.script = false; } } ); </script>これによって、Ajaxをつかって「異なるドメイン」からJavaScriptファイルを読み込むことができなくなります。 場合は、そのScriptは動かなくなります。 脆弱性をもっているかの確認方法Google ChromeのConsole
【PHP入門講座】 XSS攻撃への対策 - Qiita
【2021/10/15 追記】 この記事は更新が停止されています。PHP を分かった気になって書いていた不正確な内容が多いため,過去の情報として参考程度にご覧ください。また,完成にたどり着けなかったことをお詫びします。原則的には,公式マニュアルの参照をおすすめします。 目次に戻る XSS(クロスサイトスクリプティング) 。JavaScriptを実行するコードを制作者の意図していない場所に埋め込む手法であって、PHPを使って実際にプログラミングをしていくうえで真っ先に考えなければいけないのがこの攻撃に対する対策です。 XSS攻撃が成功するまでの流れ TwitterがXSS攻撃への対策を怠っていたと仮定します。 1. 悪意のあるユーザーの下準備 悪意のあるユーザー(A)が <?php $s = serialize(@$_GET['cookie']); file_put_contents('./
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
