- ベストアンサー
WEBアプリのXSS攻撃について
XSSについて勉強していると、「ユーザがスクリプトを含んだURLをクリックすることで 正規のページからCOOKIEの情報などを盗まれる危険性がある」と出てくるのですが 具体的にはどんなスクリプトによってCOOKIEの情報が盗まれるのでしょうか。 また、この「URLにスクリプトを含む」という方法は値をGETで渡してる場合のみ有効だと思うのですが POSTで渡している場合には、どのようにしてユーザにスクリプトを含んだURLを踏ませるのでしょうか。
- simizukiyo
- お礼率12% (18/145)
- PHP
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
その他の回答 (1)
関連するQ&A
- POSTとGETについて
インデックスページ→登録ユーザチェック→認証→ログインページ といった流れのものですが、 ログインページにGETで値を渡すとURLにパスワードやアドレスがむき出しになってしまうので、それを回避する方法を教えて下さい。 単純にPOSTでもっていきたいのですが、登録ユーザチェックページと認証ページはチェックしてロケーションのみのファイルなので、POSTだと出来ないですよね? どなたか分かるかた回答お願い致します。 詳細は以下になります。 ■インデックスページ POSTでユーザチェックページに値渡し ■ユーザチェックページ GETで認証ページに値渡し ■認証ページ GETでログインページに値渡し ■ログインページ ここのページでURLに引数がむき出しになるのをふせぎたいです。
- ベストアンサー
- PHP
- if文について
$a = $_GET['b']; if ($_COOKIE['hogeFlag'] != hoge) && (!isset($a)) { 処理1 } あるページから画面遷移したときに遷移前に食わせたcookieの値とgetで送られてくる値を元にある処理を行いたいのですが、どうもうまく処理1に入ってくれません。 個々にすればちゃんと処理されるのですが、それだと非効率だと思うので、一行で書きたいのですがどうもうまくいきません。 前提 遷移前ページでcookieに値を食わせてかつ別の値をgetで送ってくるようになっているが、cookieの値が食わせた値と違う場合かつgetで送ってこなかった場合に処理1を実行したい。
- 締切済み
- PHP
- 下記のコードはXSS脆弱ですか?(HTMLのmetaタグrefresh)
もし私がユーザ認証のあるサービスを運営していると仮定して、 下記のコードが、私のサイトにあると危険ですか? 以下の場合、javascript: から始まるコードを実行されるので危険だと思います。 <META HTTP-EQUIV="Refresh" CONTENT="0; URL=<?php echo htmlspecialchars($_GET['path'], ENT_QUOTES); ?>"> 下記の場合なら安全ですか? <META HTTP-EQUIV="Refresh" CONTENT="0; URL=index2.php<?php echo htmlspecialchars($_GET['path'], ENT_QUOTES); ?>"> つまり、URLの後ろの、javascript: が実行されることはありますか?
- 締切済み
- PHP
- 非公開空間のURL情報で逆探知されるのはどんな場合ですか?
ネット全般のセキュリティについて質問です。 パスワード付き掲示板等で、パスワードをGET値で持ち回すタイプのものに、リンク付きの書き込みをし、それをクリック。 クリック先のサイトがアクセス解析をした場合、パスワード付き掲示板のURLは漏れてしまいます。 例えばSNSなど、cookieやPOST値など、URLではパスワード情報を持ちある方ないものの場合、 ここの日記にURLを書きこみ、クリックした場合、その先のサイトがアクセス解析で、 SNSのログイン情報を取得してしまうことはあるのでしょうか? また、Web上の、非公開空間に、リンクなしでURLをべた書き(リンクを切り、文字としてhttp://~を書く)した場合、 この情報がアクセス解析などで漏れてしまうことはあるのでしょうか? 詳しい方、よろしくお願い申し上げます。
- 締切済み
- ネットワーク
- GETからPOSTに変更
GETで別のphpに移動させていた処理をPOSTで移動させようとしましたが移してくれません。 移動先にはユーザに見せたくないhiddenの値を送ります。 GETの場合だとこの文字が一瞬見えてしまっていました。 <form>タグを使うとGETよりはましですがパケットモニタでクライアントからサーバに送られている値がバレます。値の暗号化はしません。 fsockopenだとサーバ内でhiddenの値が渡されるのでユーザに値はバレずに次のphpに値を渡せましたが移動ができませんでした。 POSTで移動もするにはどうするとよいのでしょうか?
- 締切済み
- PHP
- Ajaxのsendメソッドについて
Webプログラミング初心者です。 Ajaxにおいて、XMLHttpRequestオブジェクトのプロパティであるsendおよびopenについてお聞きします、GETを使う時にopenメソッドの引数に送信すべき情報を「?キー名=値」の形式でURLの末尾に指定するのは理解できるのですが(結果として表示されるページのURLにその値が含まれているので。)、なぜPOSTを使う時にsendメソッドの引数に「?キー名=値」の情報を入れる必要があるのかわかりません。 GETの時とは違い「?キー名=値」の情報の使い道がない気がするのですが…
- 締切済み
- JavaScript
- PHPでページをまたがった変数の渡し方
何かを書き込むページを作った場合に 1・書き込むページ → 2・確認画面 → 3・完了通知画面 1→2は普通にpostで値を渡しますが、2→3の場合は2のページでフォームの形にして hiddenで値を渡すのが通例なのでしょうか。 COOKIE等に入れるのはナンセンスでしょうか。
- ベストアンサー
- PHP
- 無限にページを開く
URLをクリックして、それを開くと無限に出てくるページを 発見しました。これってJAVAスクリプトなんでしょうか? そのページを見たとき、JAVAはONの状態で、 インターネットのセキュリティは中に設定されていました。 もし、JAVAスクリプトだったとして、それ以外の方法でやっていたかも しれませんが、その場合危険性ってあるんでしょうか?
- ベストアンサー
- JavaScript
- COOKIEの扱いについて
いつもお世話になっています。 現在のプロジェクトでCOOKIEの値を利用する機能があって つまずいてます(ToT) やりたい事は 1:特定ページアクセスにアクセスされたらCookieをセット 2:別のページ内に<script src="Cookieセットしたサーバー"></script> を埋め込んでCookieをセットしたサーバーでCookieの値を取得. FIREFOXですと2の段階でもCookieの値を取得できるのですが IEですとCookieが取得できません。 ブラウザの仕様or設定の問題かとおもいますが困っているので よろしくお願いしますm(__)m
- 締切済み
- その他(プログラミング・開発)
- URLの内容チェックがうまくいきません
$_POST['url']に何らかの値が格納されている場合のみ、正規表現で値をチェックしたいのですが、現在のソースでは$_POST['url']が空の場合も処理が正規表現に移ってしまい、結果エラーが出てしまいます。 if ( isset($_POST['url']) && preg_match('/^(https?|ftp)(:\/\/[-_.!~*\'()a-zA-Z0-9;\/?:\@&=+\$,%#]+)$/', $_POST['url']) && mb_strlen($_POST['url']) <= 100){ 【データベース登録処理】 }else{ echo "エラー:入力内容が正しくありません"; } issetあたりが怪しいとは思うのですが、!emptyでも駄目でした。 他に何か書き方がありましたらご教授ください。
- ベストアンサー
- PHP
- 新品のdcp914プリンターで印刷するとピンク色のみが出力されるトラブルが発生しています。
- お使いの環境はWindows11で無線接続されています。
- 関連するソフト・アプリや電話回線の情報は不明です。
