XHR XSS の話． - ほむらちゃほむほむ

概要 CORS が「幾つかのブラウザの先行実装」の状況から「古いブラウザではサポートされない機能」に変わりつつある頃合いなので，XHR2 が XSS の起点になりますよってお話． そもそも XHR XSS って何よ 簡単に言うとXHR2 による XSS のことのつもり．身近なところだと，jQuery Mobile がやらかしたり，大阪府警がやらかしたりした． 具体例1 jQuery Mobile jQuery Mobile については，jQuery MobileのXSSについての解説 で解説されるとおり． かいつまんで言うと，jQuery Mobile に location.hash の変更( hashchange イベント発火）時に，location.hash を URL とみなして読込んで，ページ内容を変更という機能があって，その読込先 URL にクロスドメインの制約がなかったので X

[invent]

XHR XSS の話． - ほむらちゃほむほむ

[rryu]

XHRでURLが変わらないページ遷移を実装しつつlocation.hashでパーマリンクを作っている場合、何も考えていないとXHR2が有効なブラウザでは外部サイトまで遷移できてしまってスクリプトを実行されて死ぬという話

[raimon49]

任意のところと通信できるような設計にしないってのが肝だろうな。

[hasegawayosuke]

関係ないけど、「先頭が // でない」みたいなチェックは簡単にバイパスできるんで注意。 http://html5sec.org/#124 / 感想は https://twitter.com/#!/hasegawayosuke/status/180519562930954243

[s-ishigami]

任意の URL への XHR2 を安全に使うのは無理ゲーなのでやめる．

[teramako]

XMLHttpRequest level 2 のCross-Origin Resource Sharing に関する注意

[ryo_ryoo_ryooo]

外部から変更不可能なドメインを設定しなさいってことでいいのか。

[longroof]

(*´Д｀)XHR XSS の話． - ほむらちゃほむほむ

[keyjam]

XHR XSS の話． - ほむらちゃほむほむ

[ShineSpark]

ほむらちゃほむほむ

[kkeisuke]

XMLHttpRequest

[efcl]

XHR2のクロスドメインリクエストで起こり得るXSSについて。 jQuery Mobile、Ajax的な書き換えなど。 same originの判定コード

[xKazan]

"任意の URL への XHR2 を安全に使うのは無理ゲーなのでやめる．" その通りだと思う．主要な UA がCSPに対応すれば， connect-src 'self' で対処しましょう，という流れになるかも．/ 本質的でない部分だけれど，"XHR ResponseTypeを docum