hoshikuzu https://blog.hatena.ne.jp/hoshikuzu/ hoshikuzu | star_dust の書斎 https://hoshikuzu.hatenadiary.org/ link 2005-08-08::Hotmailの受信ボックス一覧が他者に漏洩する脆弱性（解決済み） 第三者に容易に推測可能なURLをもつJSの配信 公開したくないデータを配信するために第三者に容易に推測可能なURLをもつJSを提供するパターンには問題点があるケースもあります。 かつて、海外の研究者によってマルチサイトなサインインを使ったケースで具体的にみつけられたのでした。サイトAでサインインしたメンバーに対してのみサイトBから固定URLでJSデータを提供したい、このときに、そのJSデータには以下のような仕掛けをすると破られる可能性があるということです。if (location.host =… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fhoshikuzu.hatenadiary.org%2Fentry%2F20091022%2Fp2" title="上は何を言っているかというと - hoshikuzu | star_dust の書斎" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2009-10-22 00:00:01 rich https://hoshikuzu.hatenadiary.org/entry/20091022/p2 1.0 100%