2007-06-05から1日間の記事一覧
JSONの文字コードってどういう扱いになるんだ?扱っている文字コードの違いでXSSが発生しないのかなぁ?
JSONって、受け取ったデータをeval関数の引数として使うのね。これって、データとコードの区別がつけられないから、非常に危険だと思うんですが・・・ 受け取ったデータにコードらしきものが含まれていたら、意図しないコードが実行されて非常に危険なんだけど…
XMLHttpRequestを使えば、自由に改行が操作できるみたい。 例えば、こんなScriptがあったとすると。 <script> function createHttpRequest(){ if(window.ActiveXObject){ try { return new ActiveXObject("Msxml2.XMLHTTP") } catch (e) { try { return new ActiveXO…