アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
UTF-7エンコーディング (スコア:2, 参考になる)
Re:UTF-7エンコーディング (スコア:2, 興味深い)
> Set O (optional direct characters) consists of the following
(略
> Character ASCII & Unicode Value (decimal)
(略
> < 60
UTF-7においては文字「<」をバイト値「60」として表現するのは「optional」。つまり、バイト値「60」ではない表現形式もあって、そっちの場合は「<」に変換されないということか。
今回はcharsetが明示されていなかったことが問題でしたが、「charset=UTF-7」を明示する場合には別表現の方もちゃ
Re:UTF-7エンコーディング (スコア:3, 参考になる)
<html>
<head>
aaa<script>/*bbb*/function msg(){alert('xss');}</script>
</head>
<body>
<button onclick="javascript:msg()">abc</button>
</body>
</html>
というファイルを作り、aaaをESC $ B、bbbをESC ( Bとバイナリエディタで置き換えると、<script>/*の部分が「首竰蜷(文字化け)(文字化け)」という文字列になります。
この文字列をサーバーがISO-2022-JP
Re:UTF-7エンコーディング (スコア:0)