アカウント名:
パスワード:
話は単純で、「任意の HTML ファイルが添付できる」というだけです。HTML を用意し、添付します。添付されたファイルにアクセスすると、普通に HTML が表示されます。ただそれだけのことで、特別な細工は何も必要ありません。 スクリプトを含む HTML も添付できますので、悪意あるスクリプトを含む HTML を添付すれば攻撃が成立します。HTML が添付できることにはみんな気づいていたと思うのですが、それが悪用できるということに気づいていなかった……という感じでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
コロンブスの卵? (スコア:2, 参考になる)