安全な style アトリビュートのチェック案 - Tociyuki::Diary
HTML を無害化したいとき、style アトリビュートを問答無用に捨ててしまうのが主流なのだと思うのですけど、次のように HTML 用に記述内容を制限して利用可能にしたらどうだろうかと考えつつあります。 (2月7日 修正あり) 許可するもの: IDENT を構成する文字をアルファベット・数字・マイナス・アンダースコアに限定 declaration は単位付き数値と keyword と hexcolor だけ term 間はスペースとコンマとスラッシュだけ スペースはブランク文字、タブ、LF、CRだけ 文字エスケープ、url、関数、文字列は不許可にします。 W3C の CSS2.1 の構文から、関連する部分を抜き出して上のルールに沿って不要なものを削ってみます。 ⇒ http://www.w3.org/TR/CSS21/grammar.html ruleset : S* declarati
引き続き CSSXSS をご利用下さい - rna fragments
http://i.hatena.ne.jp/idea/7917 無言で却下とあいなりました。ついに対処されたのかと思ったら相変わらずでした。 そんなわけで、 他人の日記に書き込みたい方 他人のプライベートモードの日記を読みたい方 は、引き続き CSSXSS を使った攻撃サイトを作成してターゲットとなるはてなユーザにリンクを踏ませて下さい。そんなことされると困るという方は、以下のどれかで対応しましょう。 日記更新の時以外はログアウトする。ログイン中はリンクを踏まない。 IE の JavaScript をオフにする。 当分の間 IE を使わない。 はまちちゃんがゼロデイやるとすぐ対応するのにね。結局本気で攻撃されるまで対処しないってこと? トラックバック: http://d.hatena.ne.jp/dangerous1192/20060206 idトラックバック: http://d.hate
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
