Ajaxのセキュリティ、特殊なものだと思ってました
@IT messenger v1.31b ジュン こんばんはー。 クウ あっ。ジュンさんこんばんはー。 ジュン こないだは、ちょっと中途半端な感じになったけど大丈夫だった? HTTPとかいろいろやってみた? クウ telnetで簡単なのはできたんですけど、Webアプリとかなると大変で……。 ジュン ああー。そうだよねー。 クウ 全部打ち込むとなるとかなり時間がかかっちゃって、しかも間違えたりして〜。 ジュン そっかー。取りあえず基本の動作だけ、って思ってたからtelnetでのアクセス方法教えたけど、ちょっと足りなかったねぇ。 クウ 大変だーっ! って思ったのでツールとか探しちゃいました♪ ジュン どんなツール? クウ えっと、なんか、プロキシっぽくなってて、ブラウザからのHTTP通信を途中で捕まえて書き換えができたりするやつです。 ジュン おおっ。プロキシのツール使うところまでやったのね。
画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2007年12月6日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 最近、画像ファイルを用いたクロスサイト・スクリプティングが注目されている。本稿では、画像を悪用したXSSについて説明した後、対策方法について解説する。 画像によるXSSとはどのようなものか Internet Explorer(IE)の特性として、コンテンツの種類を判別する際に、レスポンスヘッダ内のContent-Typeだけでなく、コンテンツの内容も判断基準にしている。このため、Content-Typeが例えばimage/gif(GIF画像)となっていても、中身がHTMLであればHTMLと解釈して表示する。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
