Atom や RDF を利用したXSS - 葉っぱ日記
Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。 例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap
HTML抽出機能 RSSリーダー Headline-ReaderのHTMLからリンクを抽出する機能
HTML抽出機能 v.2 パターンマッチモードを使用するにはHeadline-Reader ver.2.13 以上が必要です。 概要 標準モード ホームページの新着情報一覧ページなどから追加された文字列リンクを抽出することによりRSSに対応しないホームページの更新を知ることができます。 パターンマッチモード 正規表現のパターングループ(独自拡張)を使ってタイトル、リンク、概要(本文)、カテゴリ、作者名などが抽出できます。 注意点 HTML抽出機能を指定したチャンネルに関しましては以下の制限事項や注意点があります。 標準モードの注意点 更新の差分を取りますので登録時には記事は取得されません。 [設定]ダイアログの中の[接続]タブの[接続方法/プロキシ]や[非同期接続数]には対応しません。 [FTPSync]には対応しません。 標準モード/パターンマッチモードの注意点 追加ダイアログやプロパテ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
FeedBurner
