hasegawayosuke https://blog.hatena.ne.jp/hasegawayosuke/ 葉っぱ日記 https://hasegawa.hatenablog.com/ SECURITY 土曜日は、普通の人なので普通のキャンプに行ったら普通以上に快晴だったので普通に河で泳いだりしてました。そんなどうでもよい話ははともかく。 今さらいうまでもないこと(と個人的には思っています)ですが、画像ファイルへのデータの埋め込みは、PHPのコードだけでなくHTMLやJavaScriptのコードなども埋め込むことができます。IEでそういったHTMLやスクリプトを埋め込んだ画像ファイルを開いた場合、Content-Type を無視してHTMLファイルであると判断することがあるため、XSSさせることができます。画像ファイルとして正しいデータを持たせつつスクリプトを埋め込むという方法を採ることで、 … 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fhasegawa.hatenablog.com%2Fentry%2F20070625%2Fp1" title=" yohgaki&#39;s blog - 画像ファイルにPHPコードを埋め込む攻撃は既知の問題 - 葉っぱ日記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2007-06-25 00:00:00 rich https://hasegawa.hatenablog.com/entry/20070625/p1 1.0 100%