人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

はてな記法ワープロについて
http://tech.nitoyon.com/javascript/application/texthatena/wordpro/
これちょっと使ってみたいのですが、<form>や<img>、javascriptも埋め込めるみたいです。
ローカルのブラウザで実行されるだけですが、リファラーなどについては筒抜けになってしまうのが不安ですね。
そこで質問
?原理的にこういうプレビュー機能って安全になりえますか?
あと
「Cookie を利用するようなサイトに text-hatena.js を利用するのはお勧めできません。」
とありますが、
?これは具体的にどんな悪いことが起こるのでしょう?

●質問者: yshkw
●カテゴリ:インターネット ウェブ制作
✍キーワード:cookie Hatena JavaScript js お勧め
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

[1]XSS uehaj

?については、原理的には別に不可能ではないと思います。

記法をどんどん制約していけばいいのだし。


?については、おそらく、クロスサイトスクリプティング(XSS)

の問題があるからでしょう。あるサイトが設定したクッキーを、

これを埋め込んだプレビュー機能中に<javascript>タグを

埋め込めば読み出せてしまうからです。

また、その読み出したクッキー値を他のサイトに送る

事も容易です。IMGタグとかGETリクエストを使って。

要はクロスサイトスクリプティングの脆弱性です。

クロスサイトスクリプティング(XSS)とは、HTMLに任意の

JavaScriptを何とかして埋め込めてしまう、ということ

によって生じます。このtext-hatena.jsを使うと、

容易にというかもともとの機能としてJavaScriptが

埋め込めるんで危険です。

もちろん、プレビューした結果を本人だけが見るのであれば、

「自分が悪意を持って自分自身のクッキーを他のサイトに送る」

のは無意味なのでそのような利用法だけなら問題ないでしょう。

しかし、このスクリプトの応用例として、他のユーザが

打ち込んだはてな記法を、別のユーザが閲覧できるような

Wikiみたいな使い方をする場合、XSSを引き起こします。


[2]>1 プレビューした結果を本人だけが見る yshkw

やはり、他人が見るわけではないのでプレビュー自体はXSSとは無関係ということですよね。

リファラーについてはどうでしょう?ここにformを書き込んでどこかのサイトに向けて送信できますよね。

結局ipは本人で、リファラーが設置サイトっていう以外には何もおかしなことはなさそうですが

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ