Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。 例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap
IEのウインドウ上に表示された文字列をコピーする際、マウスでうまくドラッグできないという経験はないだろうか。ある文字からドラッグ開始すると、ドラッグする方向と反対側に選択範囲が勝手に広がってしまうことがある。これは、システムが気を利かして英字やカタカナといった同じ文字種の固まりを選択しようとするからだ。しかも、その際に選択を解除してから再度ドラッグし直してもうまくいかないことが多い。 このようなときは、ドラッグを中止せず、マウスのボタンを押したまま反対方向に戻ると文字単位に選択できる。マウスカーソルの位置よりも先行して範囲が選ばれている場合は、選択したい位置の先までマウスを動かしてから戻してみよう。こうすることで、ドラッグ操作に余計な文字を選択しなくなる。選択範囲がくずれるとついドラッグ操作をやり直してしまうのだが、この方法を憶えているとうまく範囲選択できる。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く