アカウント名:
パスワード:
IMG 要素の alt 属性をエスケープしていなかった、って……。
最近業務でBugzillaを利用しているのですが、新バグの登録画面で下のほうに いくつかのフィールドはあなたのブラウザ(ほにゃらら) と出るんですけど、このほにゃら
レジストリいじってmarqueeとか入れて置くと笑えるというか何と言うか。
バグを投稿するためのページ中の User-Agent がエスケープされていなくても、いきなりセキュリティホールにはならないと思いますが、この
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
エスケープ? (スコア:2, 興味深い)
IMG 要素の alt 属性をエスケープしていなかった、って……。
alt 属性を HTML 文書中に展開するという設計だとしたら、その設計自体がまずいような気がします。 HTML 文書を parse して構文木を作った後で IMG 要素の処理を行うという設計のほうが、きれいで安全であるように思います。
鵜呑みにしてみる?
Re:エスケープ? (スコア:1)
最近業務でBugzillaを利用しているのですが、新バグの登録画面で下のほうに
いくつかのフィールドはあなたのブラウザ(ほにゃらら)
と出るんですけど、このほにゃら
Re:エスケープ? (スコア:1)
バグを投稿するためのページ中の User-Agent がエスケープされていなくても、いきなりセキュリティホールにはならないと思いますが、この
鵜呑みにしてみる?
Re:エスケープ? (スコア:1)