2007年7月17日火曜日

JavaScriptを埋め込んだ画像を作ってみました

補足

この記事は旧徳丸浩の日記からの転載です。元URLアーカイブはてなブックマーク1はてなブックマーク2
備忘のため転載いたしますが、この記事は2007年7月17日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。
補足終わり


寺田さんの日記に触発されて、JavaScriptを埋め込んだPNG画像を作ってみました。
注意:この画像にはJavaScriptが埋め込んであります。
私の娘が書いた絵ですここをクリックすると、JavaScriptが発動し、あなたのクライアント上でCookieの値を表示します(IE限定です)

追記 ImageMagic の convertコマンドでPNG→GIF→PNGと変換しても、JavaScriptは削除されませんでした。これは、T.Teradaさんの解説の追試に過ぎませんが、一応ご報告まで。

追記(2007/10/10)

MS07-057のパッチを適用したところ、PNG画像は正しく画像として認識されるようになり、JavaScriptも起動しなくなることを確認しました。手元のIE7にて確認しております。


本日のツッコミ(全3件)

_ はせがわ (2007年07月17日 16:43)
GIF/JPEGでもこのようなXSSする画像はありますでしょうか?

_ 徳丸浩 (2007年07月17日 18:18)
はせがわさんのブックマークを見て、公開をすることにしました:-)なんだ、もう公開されているんだ、って。
GIFは試しましたが、画像として表示されました。
JPEGはこの方法だと駄目だと思います。JPEGにはカラーパレットがありませんので。

_ はせがわ (2007年07月17日 22:52)
ありがとうございます。そうですね、2年前とは状況が変わってますね。また時間のあるときにいろいろ書いてみます。


フォロワー