スクリプトのSVGがCSP(Content-Security-Policy)下でどのように動くのかを検証したのでまとめてみました。 『SVGでXSSしてみる。その1』のつづきです 前回はsvgをhtmlに取り入れるタグをそれぞれ試して挙動がどのように変わるかを見ました。 今回はそれをCSP下でためしてみます。環境はfirefox26です。 どちらかというと試したことをそのまま乗っけてる実験レポートに近いものなのでもう一回まとめないといけないかなと思ってます。 まず、CSP下で試すにおいて、2つの場合があります。 svgファイル自身がSameOrigin内にある場合と外にある場合です。 それぞれためしてみます。 CSPに関してはw3cとmdnにドキュメントがあるのでそちらを。(私もきちんと読んでるわけではないですが) https://dvcs.w3.org/hg/content-securi

svgにjavascriptが埋め込んだ時の挙動がどう違うのか気になっていろいろ試したのでとりあえずまとめてみます。 特に言及していなければfirefoxで試しています。 scriptを混入させたsvgを書く 思いつくjavascriptをいれる方法をひと通り入れてみました。 明らかに動かなさそうなものやxssじゃないものもはいってますが挙動が気になったので入れてみました。 onclick="console.log()" 内部スクリプトでのelem.onclick = function(){console.log()} 外部スクリプトでのelem.onclick = function(){console.log()} style属性でのexpression: style="stroke-width:expression(console.log())" cssでのexpression: .x