2010年 7月 27日
NTTドコモおよびソ フトバンクモバイルの端末がJavaScriptに 対応したことによ り、XSSのリ スクが高まっています。そのような状況で、両事業者は、典型的なXSS試験パターンを「一見動作しなくなる」という対応を しています。
しかし、これら「対策」は非常に表層的なもので、URLを少し変えるだけでXSS攻撃ができてしま います。すなわち、XSS対 策としての効果はほとんどなく、逆に副作用の方が大きいと思わ れます。オレ標準JavaScript勉強会でも、 「alert殺したらデバッグが大 変になるのでは?」という指摘がありましたが、私も同感です。
携帯電話事業者に学ぶ「XSS対策」 - ockeghem(徳丸浩)の日記
モバイルサイトもXSS対策が必要な時代となってきました。
1年前 | 固定リンク | 2010年 7月 27日 | 
