HOME»情報処理安全確保支援士掲示板»R3秋午後2 問1 設問(2)について
投稿する
gihyo.jp/dev/serial/01/javascript-security/0002
第2回 Webセキュリティのおさらい その2 XSS | gihyo.jp
<input>要素のvalue属性に指定された値を埋め込んで出力するWebアプリケーションがあったとして、
HTTPレスポンスのボディ(P5図7)
ここでいうonmouseoverは属性ではなく、URLとして処理されることから、alert()関数は実行されない
ので、ちがうということです。
[0906] R3秋午後2 問1 設問(2)について
ここさん(No.1)
選択肢アについて、onmouseoverが使用された構文になっていますが、選択肢として不適切な理由は、「URLをクリックするとスクリプトが実行された」とあり、「URLの上にカーソルをあわせるとスクリプトが実行された」わけではないため、という理解であっていますでしょうか。
※ある問題集の解説に、
この構文では、クリック時だけでなく、マウスを重ねてもスクリプトのalertメソッドは実行されない、とあり、そもそもスクリプトとして機能しないのか構文なのか?と思いました。
■問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_2/2021r03a_sc_pm2_qs.pdf
※ある問題集の解説に、
この構文では、クリック時だけでなく、マウスを重ねてもスクリプトのalertメソッドは実行されない、とあり、そもそもスクリプトとして機能しないのか構文なのか?と思いました。
■問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_2/2021r03a_sc_pm2_qs.pdf
2022.08.13 14:09
GinSanaさん(No.2)
★SC ブロンズマイスター
>そもそもスクリプトとして機能しないのか構文なのか?
gihyo.jp/dev/serial/01/javascript-security/0002
第2回 Webセキュリティのおさらい その2 XSS | gihyo.jp
<input>要素のvalue属性に指定された値を埋め込んで出力するWebアプリケーションがあったとして、
x onmouseover=alert(1)
を指定すれば、<input type=text value=x onmouseover=alert(1)>
が生成されるから、<input>要素の上でマウスを動かすとalertが出るので、onmouseoverの構文が間違ってるとかそういう話じゃなく、HTTPレスポンスのボディ(P5図7)
<a href=”onmouseover=alert(‘XSS!’)”>onmouseover=alert(‘XSS!’)</a>
を見るとわかるようにhrefの中に記載されるわけで、ここでいうonmouseoverは属性ではなく、URLとして処理されることから、alert()関数は実行されない
ので、ちがうということです。
2022.08.13 14:43
ここ、さん(No.3)
ありがとうございます。
タグの意味を理解しました。
タグの意味を理解しました。
2022.08.14 10:20