- Google Chrome 90プロセス©2ch.net
244 :名無しさん@お腹いっぱい。[sage]:2017/01/11(水) 15:03:16.54 ID:vBEdG0SG0 - 問い合わせフォーム作成中にバグらしきもの見つけたんだが、最小限にそぎ落とすと
<!doctype html> <html> <head><base href="/" /></head><body> <form method="post"> <textarea name="abc"><base href="/" /></textarea> <input type="submit" value="post" /> </form> </body></html> で送信するとbaseでXSSエラーが出ることを確認した。 imgとかlinkで指定してる相対パスが全て壊れるのでサイトが崩れる。 FirefoxとIEでは正しく(想定どおり)表示される 一応報告済みだけど、俺何も間違ってないよね。 バージョン 55.0.2883.87 m(Win7 64bit)
|
- Google Chrome 90プロセス©2ch.net
246 :名無しさん@お腹いっぱい。[sage]:2017/01/11(水) 15:16:18.83 ID:vBEdG0SG0 - >>245
http://fast-uploader.com/transfer/7039670752270.png あとから条件加えて申し訳ない SSL通信上で発生するのかなこれは ソースダストキャプチャのようにbase部分がハイライトされる。 コンソールのエラーは The XSS Auditor refused to execute a script in 'https://**************/' because its source code was found within the request. The auditor was enabled as the server sent neither an 'X-XSS-Protection' nor 'Content-Security-Policy' header. ってなる。 でもテキストエリアの中のbaseタグを崩して例えば <base hrefx="/" /> 見たいにすればエラーなく送信できる。
|
- Google Chrome 90プロセス©2ch.net
247 :名無しさん@お腹いっぱい。[sage]:2017/01/11(水) 15:17:53.54 ID:vBEdG0SG0 - 連投すまん、念のために追記。
送信ボタン1回押してPOSTで表示するんだよ。 GETアクセスで表示するだけではエラーは出ない。
|