XML を利用して XSS

どこかで何かが成功してしまったという話ではありませんが、単にメモとして。

とりあえずこんなのを思いついたので試してみました。

<?xml-stylesheet type="text/xsl" href="javascript:alert('foo');" ?>

しかし、これは MSIE6 では動作しませんでした。あと、XSL ファイル内に以下のように書く方法も思いつきましたが、これも駄目でした。

<xsl:include href="javascript:alert('foo');"/>

では xml-stylesheet 処理命令は安全なのかというとそうでもありません。以下のようにするとスクリプトの実行が可能です。まず、

<?xml-stylesheet type="text/css" href="test.css" ?>

と書いておいて、test.css に

@import url("javascript:alert('foo');");

と書けば OK。MSIE6 で動作を確認しました。

最近のブラウザは XML 系のもろもろに対応していたりすることがあるので、深く研究してみると面白いかも知れません。