[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

文字コード関連のXSS脆弱性。U+2028/2029のエスケープを考慮してないサイト多そうだなあ

asuka0801asuka0801 のブックマーク 2013/09/20 20:52

その他

このブックマークにはスターがありません。
最初のスターをつけてみよう!

Masato Kinugawa Security Blog: U+2028/2029とDOM based XSS

    ECMAScriptの仕様では、0x0A/0x0D以外にU+2028/2029の文字も改行とすることが明記されています。 これはあまり知られていないように思います。 以下はアラートを出します。 <script> //[U+2028]alert(1) </script...

    \ コメントが サクサク読める アプリです /

    • App Storeからダウンロード
    • Google Playで手に入れよう