引用符で囲んだ属性値に対するXSS
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/22 07:13 UTC 版)
「クロスサイトスクリプティング」の記事における「引用符で囲んだ属性値に対するXSS」の解説
HTML中で属性値を引用符でくくっていても適切な対策(属性値中で引用符「"」をエスケープ)をしない限り、XSS対策にならない。たとえば
のように青色で示した入力値inputvalが引用符でくくられていたとしていても攻撃者が http://example.com/?name="+onmouseover%3d"(悪意のあるスクリプト) というURLを被害者にクリックさせると、被害者のブラウザでは(HTML中では%3dが「=」に変換されるので)
となってしまうので、onmouseoverイベントハンドラによりマウス移動時に悪意のあるスクリプトが実行されてしまう。
※この「引用符で囲んだ属性値に対するXSS」の解説は、「クロスサイトスクリプティング」の解説の一部です。
「引用符で囲んだ属性値に対するXSS」を含む「クロスサイトスクリプティング」の記事については、「クロスサイトスクリプティング」の概要を参照ください。
ウィキペディア小見出し辞書の「引用符で囲んだ属性値に対するXSS」の項目はプログラムで機械的に意味や本文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。
お問い合わせ。
- 引用符で囲んだ属性値に対するXSSのページへのリンク
