XSSの攻撃手法いろいろ - うなの日記
html5securityのサイトに、XSSの各種攻撃手法がまとめられているのを発見せり!ということで、個人的に「お!」と思った攻撃をサンプルつきでご紹介します。 1. CSS Expression IE7以前には「CSS Expressions」という拡張機能があり、CSS内でJavaScriptを実行できたりします。 <div style="color:expression(alert('XSS'));">a</div> 確認 @IT -[柔軟すぎる]IEのCSS解釈で起こるXSS で詳しく解説されていますが、CSSの解釈が柔軟なことともあいまって自前で無害化するのはなかなか困難。以下のようなコードでもスクリプトが実行されてしまいます。 <div style="color:expr/* コメントの挿入 */ession(alert('XSS'));">a</div> 確認 <div s
Introducing jQuery
jQueryって何 JavaScriptのフレームワーク みんな超使ってる ややこしいことが超簡単にできる John Resigってすげー人が作ってる とにかくイケてる なぜjQueryはイケてるのか 超短く書ける。そう作られてる。 Write Less, Do More. たくさんプラグインがある。使うの簡単。 DOM操作周りにめちゃ強い。 JavaScript始めるのにもオススメ。 ブラウザごとの差異も吸収してくれちゃう ブラウザ上でなんかするのに必要な機能が詰まってる プログラム書く流れ JavaScriptに限らず、大体こんな感じ。 こんなん作りたい APIを調べる それをどーやって使うのか調べる なんか難しそうだったらフレームワークとか調べる 文法を知る(大体どれも大きくは変わらない) 書いてみる APIとかフレームワークとか知らん 大丈夫です。 そんなん普通、調べないと知りませ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
