読者です 読者をやめる 読者になる 読者になる

素人がプログラミングを勉強していたブログ

プログラミング、セキュリティ、英語、Webなどのブログ since 2008

連絡先: すかいぷ:javascripter_  か javascripter あっと tsukkun.net skypeのほうがいいです

WebKitに入ったXSS検知機能

追記: 下記のXSSは修正された。修正前は下記のURLにアクセスすると

<link rel="alternate" type="application/rss+xml" title="RSS2.0" href="http://live.nicovideo.jp/recent/rss?tab=&sort="><script>alert("XSS");</script><meta id="&p=1" />

のようになっていた。追記ここまで。

ttp://live.nicovideo.jp/search?sort="><script>alert("XSS");</script><meta id="

Firefox等、Opera等ではアラートが表示されるが、WebKitのnightlyでは表示されない。原因を調べたら、どうやらこれはWebKitに搭載されたXSS対策の機能のようだ。

Refused to execute a JavaScript script. Source code of script found within request.

URLのクエリ部に含まれるコードと同じ物がHTMLに入っていた場合、ブロックするという機能。XSSAuditorと言う名前で実装されていて、近々Chromiumにも入ると思われる。