PEAK XOOPS - Re: anti-XSS system (4) 
Re: anti-XSS system (4)
| Target | News |
| Subject | anti-XSS system (4) |
| Summary | 「大きな傘」(BigUmbrella)XSS対策システムの最終回。考察編です。(3)に示したコードには、議論の余地が2つ残っています。・疑うべきリクエストのパターンがそれで良いのか(3)で示したチェックパターンはこうです。preg_match( '/[<\'"].{15}/s' , $val , $regs )タグの... |
Re: anti-XSS system (4)
msg# 1.1
- depth:
- 1
GIJOE
Posts: 4110
Posts: 4110
Quote:あ〜、なるほど〜。そりゃ潰しようがないですね。
やっぱり、Script Insertionについては、本体側で真面目に作ってもらうしかないですね。
やはり外部からの「HTML許可」はあり得ない設定ですね。
承認制でも事実上意味のないケースが多く見られますし。
Quote:これ、Mozzilaとかのブラウザプロジェクトにみんなでお願いしましょうよ。
XMLHttpRequest の場合には、それがWebアプリケーション側で確実に判別できるHTTPリクエストを送る(しかもJavaScriptからはキャンセルできない)、という仕様を追加してもらうしかないですよ。
安易にprototype.jsなんかをincludeしてしまうと、このフィルタリングが非常に難しい・・・。たとえば、Ajaxは new Ajax.Request で生成されてしまう・・・。
外部ライブラリ自体の脆弱性ではないけど、それが引き起こす脆弱性が増えそうですね。
やっぱり、Script Insertionについては、本体側で真面目に作ってもらうしかないですね。
やはり外部からの「HTML許可」はあり得ない設定ですね。
承認制でも事実上意味のないケースが多く見られますし。
Quote:
便利さと完全にトレードオフです。困ったものです・・。
実際、CSRF対策は
・とりあえずチケット
・後は何とかどっかで引っかかってくれ
という状況で。
XMLHttpRequest の場合には、それがWebアプリケーション側で確実に判別できるHTTPリクエストを送る(しかもJavaScriptからはキャンセルできない)、という仕様を追加してもらうしかないですよ。
Votes:2
Average:5.00
Posts tree
-
Re: anti-XSS system (4)
(tohokuaiki, 2006/7/13 12:32)
-
Re: anti-XSS system (4)
(GIJOE, 2006/7/13 17:57)
-
Re: anti-XSS system (4)
(tohokuaiki, 2006/7/13 18:47)
-
Re: anti-XSS system (4)
(GIJOE, 2006/7/14 15:03)
-
-
-
Login