引用符で囲んだ属性値に対するXSS
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/22 07:13 UTC 版)
「クロスサイトスクリプティング」の記事における「引用符で囲んだ属性値に対するXSS」の解説
HTML中で属性値を引用符でくくっていても適切な対策(属性値中で引用符「"」をエスケープ)をしない限り、XSS対策にならない。たとえば
のように青色で示した入力値inputvalが引用符でくくられていたとしていても攻撃者が http://example.com/?name="+onmouseover%3d"(悪意のあるスクリプト) というURLを被害者にクリックさせると、被害者のブラウザでは(HTML中では%3dが「=」に変換されるので)
となってしまうので、onmouseoverイベントハンドラによりマウス移動時に悪意のあるスクリプトが実行されてしまう。
※この「引用符で囲んだ属性値に対するXSS」の解説は、「クロスサイトスクリプティング」の解説の一部です。
「引用符で囲んだ属性値に対するXSS」を含む「クロスサイトスクリプティング」の記事については、「クロスサイトスクリプティング」の概要を参照ください。
- 引用符で囲んだ属性値に対するXSSのページへのリンク