画像XSSの原理と対策をまとめました
最近、画像ファイルを用いたクロスサイト・スクリプティングが注目されている。本稿では、画像を悪用したXSSについて説明した後、対策方法について解説する。
画像によるXSSとはどのようなものか
Internet Explorer(IE)の特性として、コンテンツの種類を判別する際に、レスポンスヘッダ内のContent-Typeだけでなく、コンテンツの内容も判断基準にしている。このため、Content-Typeが例えばimage/gif(GIF画像)となっていても、中身がHTMLであればHTMLと解釈して表示する。このため、JavaScriptが埋め込まれていたら、JavaScriptを実行することになる。
続きはこちら(徳丸浩の日記 - イメージファイトのまとめ - 画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策)