[Seasar-user:19078] Re: クロスサイトスクリプティング対策について

[塚越 昌也]

ご回答ありがとうございます。塚越です。

返信が遅くなってしまい申し訳ありません。

SNAPSHOTで確認したところ、不正なURLがエスケープされることが確認できました。
修正、本当にありがとうございました。

今後もよろしくお願いいたします。


Koichi Kobayashi (2009/12/24 22:00):
>小林 (koichik) です．
>
>ごめんなさい，いろいろ勘違いしてました．
>
>Date:    Thu, 24 Dec 2009 20:00:01 +0900
>From:    Koichi Kobayashi <[E-MAIL ADDRESS DELETED]>
>To:      [E-MAIL ADDRESS DELETED]
>Subject: [Seasar-user:19057] Re: クロスサイトスクリプティング対策について
>
>> 適切なエラーページを作成して web.xml の
>> 
>>     <error-page>
>>         <exception-type>java.lang.Throwable</exception-type>
>>         <location>/debug/debug.jsp</location>
>>     </error-page>
>> 
>> の <location> で指定してください．
>> デフォルトの設定は名前の通りデバッグ用です．
>
>この設定は Teeda HTML Example のもので，Dolteng で
>作成したプロジェクトでは設定されていませんでした．
>
>> > 以下のように、
>> > http://localhost:8080/hogehoge/coppermine/thumbnails/meta=%22%3e%3cscript%3ealert('XSS%20Happend!')%3c/script%3etopn/album=1.html
>> > というクロスサイトスクリプティングの試験を行った場合
>> > 実行されてしまいます。
>
>これはエラー画面で
>
><span id="messages"></span>
>
>などとした場合に不正な URL がエスケープされることなく
>出力されていることが原因でした．
>修正して SNAPSHOT をデプロイしたのでご確認ください．
>
>http://maven.seasar.org/maven2-snapshot/org/seasar/teeda/teeda-core/1.0.13-sp9-SNAPSHOT/teeda-core-1.0.13-sp9-20091224.121655-1.jar
>http://maven.seasar.org/maven2-snapshot/org/seasar/teeda/teeda-extension/1.0.13-sp9-SNAPSHOT/teeda-extension-1.0.13-sp9-20091224.121655-1.jar
>http://maven.seasar.org/maven2-snapshot/org/seasar/teeda/teeda-ajax/1.0.13-sp9-SNAPSHOT/teeda-ajax-1.0.13-sp9-20091224.121655-1.jar
>http://maven.seasar.org/maven2-snapshot/org/seasar/teeda/teeda-tiger/1.0.13-sp9-SNAPSHOT/teeda-tiger-1.0.13-sp9-20091224.122014-1.jar
>
>
>-- 
><component name="koichik">
>    <property name="fullName">"Koichi Kobayashi"</property>
>    <property name="email">"[E-MAIL ADDRESS DELETED]"</property>
>    <property name="blog">"http://d.hatena.ne.jp/koichik"</property>
></component>
>
>_______________________________________________
>Seasar-user mailing list
>[E-MAIL ADDRESS DELETED]
>https://ml.seasar.org/mailman/listinfo/seasar-user