Closure Templatesのオートエスケープが最強すぎる件 - teppeis blog
rails3以降のWEBアプリケーションにありがちなXSS - hanagemanの日記ではない この記事を読んで、ちょうど最近使っているGoogle Closure Templatesがいい感じだったので紹介します。 コンテキストが異なる/重なるポイントでのエスケープ問題 最近のほとんどのテンプレートエンジンでは、変数埋め込みをデフォルトでHTMLエスケープしてくれます。が、元記事で指摘されているように、それでは正しくないケースがあります。HTML PCDATA以外のコンテキストで文字列を生成したり、複数のコンテキストが重なっている箇所です。 極端な例としてはこんな感じです。 <a href="{$x1}" onclick="alert('{$x2}')">{$x3}</a> <script> var x = '{$x4}'; var y = {$x5}; </script> <styl
WebAppSec - WebAppSec Wiki - XSSの実例
data スキーマを使ったスクリプトの実行 † data スキーマは、画像やIFRAMEなどのデータをHTML中に埋め込んで使用するための方法で、RFC2397で定義されています。複数のWebメールにてこれを使用してスクリプトの実行が可能な脆弱性がありました。 <iframe src='data:text/html;base64,PHNjcmlwdD5hbGVydCgiZGF0YToiK2RvY3VtZW50LmNvb2tpZSk7PC9zY3JpcHQ+'></iframe> <img src='data:text/html;base64,PHNjcmlwdD5hbGVydCgiZGF0YToiK2RvY3VtZW50LmNvb2tpZSk7PC9zY3JpcHQ+'> 多くのWebアプリケーションでは、http もしくは https スキーマのURIのみを入力値として許可すれば十分だと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
