セキュリティ imgタグのsrcにjavascriptを挿入すると実行される

スポンサーリンク
解説

imgタグsrcJavaScriptを挿入すると、それを実行するブラウザがあります。
Internet Explorer(IE) 6 で、動作します。


ソースの例

例を示すと、下記のコードになります。

<img src="javascript:alert(0);">

デモ

IE6で下記のページにアクセスした場合、javascriptのalertが実行され、「0」とポップアップウィンドウが表示されます。

http://paranoid.dip.jp/dev/js/img-src-javascript.php

firefox(1.5.0.9, 2.0.0.1で修正された)では動作しません。

まとめ

パラメータの値を imgタグの src にセットする場合に、img.src に
JavaScriptが挿入され、実行される可能性があります。
imgタグのsrcに、ユーザからの入力などをそのまま挿入して、ユーザに表示してはいけません。
Cross Site Scripting(XSS,クロスサイトスクリプティング)の問題になります。
スポンサーリンク
スポンサーリンク
 
いつもシェア、ありがとうございます!
Twitter
Facebook
LINE
Pocket
はてぶ
RSS

もっと情報を探しませんか?

関連記事

最近の記事

人気のページ

スポンサーリンク
 

過去ログ

2020 : 01 02 03 04 05 06 07 08 09 10 11 12
2019 : 01 02 03 04 05 06 07 08 09 10 11 12
2018 : 01 02 03 04 05 06 07 08 09 10 11 12
2017 : 01 02 03 04 05 06 07 08 09 10 11 12
2016 : 01 02 03 04 05 06 07 08 09 10 11 12
2015 : 01 02 03 04 05 06 07 08 09 10 11 12
2014 : 01 02 03 04 05 06 07 08 09 10 11 12
2013 : 01 02 03 04 05 06 07 08 09 10 11 12
2012 : 01 02 03 04 05 06 07 08 09 10 11 12
2011 : 01 02 03 04 05 06 07 08 09 10 11 12
2010 : 01 02 03 04 05 06 07 08 09 10 11 12
2009 : 01 02 03 04 05 06 07 08 09 10 11 12
2008 : 01 02 03 04 05 06 07 08 09 10 11 12
2007 : 01 02 03 04 05 06 07 08 09 10 11 12
2006 : 01 02 03 04 05 06 07 08 09 10 11 12
2005 : 01 02 03 04 05 06 07 08 09 10 11 12
2004 : 01 02 03 04 05 06 07 08 09 10 11 12
2003 : 01 02 03 04 05 06 07 08 09 10 11 12

サイト

Vim入門

C言語入門

C++入門

JavaScript/Node.js入門

Python入門

FreeBSD入門

Ubuntu入門

セキュリティ入門

パソコン自作入門

ブログ

トップ

プライバシーポリシー