2
IE7エミュレータの一般的なWebサイトで以下のスタイル属性を追加すると何も起こりませんが、IE7エミュレータの簡単なWebサイトから実行すると実行されます。CSSからのJavaScriptの実行をブロックする
<body style="width: expression(alert())">
どのように表現が実行されないようにできますか?
A
答えて
0
あなたが話している機能はDynamic Propertiesと呼ばれ、IE8ではサポートされなくなりました。
ダイナミックプロパティ(CSS表現とも呼ばれます)は、Internet Explorer 8以降、IE8標準モード以上ではサポートされなくなりました。この決定は、標準の準拠、ブラウザのパフォーマンス、およびセキュリティ上の理由から行われました。動的プロパティは、IE7モードまたはIE5モードのInternet Explorer 8で引き続き使用できます。 IE8モードのInternet Explorer 8は、カスケーディングスタイルシート、レベル2リビジョン1(CSS2.1)標準に完全に準拠しているため、カスケーディングを回避するために書かれたほとんどの動的プロパティ以前のバージョンのInternet Explorerのスタイルシート(CSS)関連の欠点はもう必要なくなりました。より具体的な用途の他の動的プロパティは、一般的に標準のJavaScriptに置き換えることができます。 現代ブラウザで予期しない場所に注入されたJavaScriptに対する緩和策として
1
、content security policyを使用しています。たとえば、CSPがscript-src: none;の場合、どこのページに関係なく、ページ内のすべてのJavaScriptの実行が拒否されます。より詳細なポリシーは、特定のURIからのJavaScriptのみ、または特定のハッシュを持つスクリプトのみを許可するように設計できます。
+0
これはXSSには適していますが、ここでは悪意のあるコードは「自己」に由来しています。しかし、それは良いリソースです、ありがとう! – gr3g
+0
JavaScriptの実行を 'self'から拒否することも、既知のハッシュを持つスクリプトだけを許可することもできます。これは一般的にXSS予防のための良い習慣です。 – user3553031
+0
これはIE11からしか動作しないので、 'HTC'や' expression'が実行されるのを防ぐことはできません。しかし、私はそれが防衛の最初のレベルであることに同意します!あなたのJavascriptコードは 'self'からのjavascriptの実行を拒否すると実行されますか、JSFアプリケーションの' self'オプションですか? – gr3g
関連する問題
- 1. JavaScript実行ブロックとメッセージキュー
- 2. Javascript任意ブロックJellyでの実行
- 3. JavaScriptをJavaScriptフォームから実行する
- 4. レンダリングをブロックするJavaScriptとCSS - Google PageSpeed
- 5. FirefoxやIEと同様に、ChromeのCSSからJavaScriptを実行する
- 6. 実行計画から複数のブロックをスキップする
- 7. javascriptからバットファイルを実行する
- 8. javascriptをtextareaから実行する
- 9. javascriptをウェブブラウザから実行する
- 10. JavaScriptからPHPクラスを実行する
- 11. CSSとJavascript - 実行の優先度
- 12. ajaxからjavascriptを実行
- 13. PythonからJavascriptを実行
- 14. JavaScriptをテキストエリアから実行
- 15. php mysqlを実行してからjavascriptを実行する
- 16. jqueryからCSSブロックのプロパティにアクセス
- 17. CRM 2011のJavaScriptからワークフローを実行
- 18. キュウリ/カピバラのテストからJavaScriptを実行
- 19. JavaコードからJavaScriptのポップアップボックスを実行
- 20. rails3のjavascriptからコントローラ/アクションを実行
- 21. DjangoテンプレートでJavascriptとCSSを実行
- 22. spring-bootからpostgres sqlブロックを実行するには
- 23. lldbからブロック(ポインタで識別)を実行する方法
- 24. ブロックされたリポジトリからBlocklyを実行するには?
- 25. NSTask実行プログラムから標準をブロックする
- 26. iframeの読み込みはJavaScriptの実行をブロックしますか?
- 27. .netユニットテストからのjavascriptテストの実行
- 28. java.io.InputStreamReader.ready()ブロック実行
- 29. HAML内から各ブロックを実行するにはどうすればよいですか?javascript?
- 30. コマンドラインから実行するとQtアプリケーションがブロックされない
IE 7で実行されないようにする方法や、まだサポートされているブラウザで実行されないようにする方法は? – user3553031
ie7は、Microsoftの視点からは長らく死んでいます。 –
これは本当にXSSの問題ですか?サイトのユーザーがスタイルを編集できるようにしますか? – nnnnnn