HOME»情報処理安全確保支援士掲示板»R3秋午後2 問1 設問(2)について
投稿する

R3秋午後2 問1 設問(2)について [0906]

 ここさん(No.1) 
選択肢アについて、onmouseoverが使用された構文になっていますが、選択肢として不適切な理由は、「URLをクリックするとスクリプトが実行された」とあり、「URLの上にカーソルをあわせるとスクリプトが実行された」わけではないため、という理解であっていますでしょうか。
※ある問題集の解説に、
この構文では、クリック時だけでなく、マウスを重ねてもスクリプトのalertメソッドは実行されない、とあり、そもそもスクリプトとして機能しないのか構文なのか?と思いました。

■問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03_2/2021r03a_sc_pm2_qs.pdf
2022.08.13 14:09
GinSanaさん(No.2) 
SC ブロンズマイスター
>そもそもスクリプトとして機能しないのか構文なのか?
gihyo.jp/dev/serial/01/javascript-security/0002
第2回  Webセキュリティのおさらい その2 XSS | gihyo.jp
<input>要素のvalue属性に指定された値を埋め込んで出力するWebアプリケーションがあったとして、
x onmouseover=alert(1)
を指定すれば、
<input type=text value=x onmouseover=alert(1)>
が生成されるから、<input>要素の上でマウスを動かすとalertが出るので、onmouseoverの構文が間違ってるとかそういう話じゃなく、

HTTPレスポンスのボディ(P5図7)
<a href=”onmouseover=alert(‘XSS!’)”>onmouseover=alert(‘XSS!’)</a>
を見るとわかるようにhrefの中に記載されるわけで、
ここでいうonmouseoverは属性ではなく、URLとして処理されることから、alert()関数は実行されない
ので、ちがうということです。
2022.08.13 14:43
ここ、さん(No.3) 
ありがとうございます。
タグの意味を理解しました。
2022.08.14 10:20
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop