SVGでXSSしてみる。その2 - cocuh's noteスクリプトのSVGがCSP(Content-Security-Policy)下でどのように動くのかを検証したのでまとめてみました。 『SVGでXSSしてみる。その1』のつづきです 前回はsvgをhtmlに取り入れるタグをそれぞれ試して挙動がどのように変わるかを見ました。 今回はそれをCSP下でためしてみます。環境はfirefox26です。 どちらかというと試したことをそのまま乗っけてる実験レポートに近いものなのでもう一回まとめないといけないかなと思ってます。 まず、CSP下で試すにおいて、2つの場合があります。 svgファイル自身がSameOrigin内にある場合と外にある場合です。 それぞれためしてみます。 CSPに関してはw3cとmdnにドキュメントがあるのでそちらを。(私もきちんと読んでるわけではないですが) https://dvcs.w3.org/hg/content-securi
