バグ報告 > フロント機能 > jQuery Mobile 1.2.0未満のXXSについて |
フロント機能
フラット表示 | 前のトピック | 次のトピック |
投稿者 | スレッド |
---|---|
otoan |
投稿日時: 2013/3/14 13:25
対応状況: −−−
|
半人前 登録日: 2013/1/31 居住地: 投稿: 21 |
Re: jQuery Mobile 1.2.0未満のXXSについて ・Safari系のバグが原因
・location.hrefの値を元に、遷移先やデータ取得先を決めていると、外部ドメインに飛ばされうる 引用: location.hrefが自分と同じドメインのURLを返すことを前提に書いているコードは全て、正しく動かない恐れがある 下記のようなリンクでページにアクセスした場合、
ページ内( http://vulnerabledoma.in/webkit_locationhref/ )でlocation.hrefを読み出すと、値が下のように変換されているそうです。
jquerymobileでの判定失敗の例( from https://github.com/jquery/jquery-mobile/issues/4787 )
外部に設置したリンクを踏ませれば良いので、確かに危険ですね。 location.hrefの値を見て、遷移先を決めたり、ドメインを判定することはあまりないとは思いますが... そのようなコードがないことを確認した方が良いかもしれません。 |
フラット表示 | 前のトピック | 次のトピック |
題名 | 投稿者 | 日時 |
---|---|---|
jQuery Mobile 1.2.0未満のXXSについて | reaps | 2013/3/14 11:04 |
» Re: jQuery Mobile 1.2.0未満のXXSについて | otoan | 2013/3/14 13:25 |
Re: jQuery Mobile 1.2.0未満のXXSについて | reaps | 2013/3/14 13:46 |
Re: jQuery Mobile 1.2.0未満のXXSについて | habu | 2013/3/18 14:06 |
Re: jQuery Mobile 1.2.0未満のXXSについて | reaps | 2013/3/25 13:50 |