#navi_header|JavaScript|

[[990]]を書いたそもそものきっかけが "DOM based XSS" ということで、リンクメモ。

- [DOM Based Cross Site Scripting or XSS of the Third Kind] Web Security Articles - Web Application Security Consortium
-- http://www.webappsec.org/projects/articles/071105.shtml
- DOM Based XSS - OWASP
-- https://www.owasp.org/index.php/DOM_Based_XSS
- JavaScriptスクリプトに潜むXSSのぜい弱性も検出 - Googleが作ったWebセキュリティ・ツール「ratproxy」：ITpro
-- http://itpro.nikkeibp.co.jp/article/COLUMN/20080830/313784/
- あまり知られていない脆弱性：DOM Based XSSにご用心 : アークウェブ ビジネスブログ
-- http://www.ark-web.jp/blog/archives/2007/02/dom_based_xss.html

 url?name=<b>foo</b>
が太字表示 → 要チェック

 url#name=<b>foo</b>
が太字表示 → 要チェック＋サーバへのリクエストに"#"以降は含まれない！

 url?link_href=javascript:alert()
どこかのリンク要素にそのまま出力 → 危険

#navi_footer|JavaScript|