Comments on: Google 對 XSS 的應對 http://blog.gslin.org/archives/2005/12/26/271/ 幹壞事是進步最大的原動力 Fri, 22 Aug 2008 03:23:52 +0000 http://wordpress.org/?v=2.6.1 By: Gea-Suan Lin's BLOG http://blog.gslin.org/archives/2005/12/26/271/#comment-1473 Gea-Suan Lin's BLOG Sat, 18 Mar 2006 20:59:43 +0000 http://blog.gslin.org/archives/2005/12/26/271/#comment-1473 <strong>把 NoScript 移除...</strong> 對,我把 NoScript 移除了,幾個理由: 幾個有 XSS 問題的 site 我都沒有使用 (也就是沒有 login cookie 或之類的東西) 由於 Javascript 關閉的情況很容易造成 Media Player 爛掉,使得 Firefox 就跟著爛&#823... 把 NoScript 移除…

對,我把 NoScript 移除了,幾個理由:

幾個有 XSS 問題的 site 我都沒有使用 (也就是沒有 login cookie 或之類的東西)
由於 Javascript 關閉的情況很容易造成 Media Player 爛掉,使得 Firefox 就跟著爛&#823…

]]> By: 無名小站的 XSS 安全漏洞 at Gea-Suan Lin’s BLOG http://blog.gslin.org/archives/2005/12/26/271/#comment-798 無名小站的 XSS 安全漏洞 at Gea-Suan Lin’s BLOG Thu, 05 Jan 2006 18:47:50 +0000 http://blog.gslin.org/archives/2005/12/26/271/#comment-798 [...] 回過頭來提 Google 對 XSS 的應對 這篇,假設有人 (舉個例,www.example.com) 在網站上放個 Javascript,用 XMLHttpRequest() 硬連 mail.google.com (Gmail) 的某些 function。在平常的時候,會因為 example.com != google.com 而無法產生 XMLHttpRequest Object,但是在「頁庫存檔」的時候就會在同一個 Domain 下!於是 Google 必須避免這種情況:那我就硬把 www.google.com 換成 IP address,這樣就沒問題了。你可以測試 http://www.google.com/search?q=cache:http://www.google.com/intl/zh-TW/features.html 這個頁面,你會發現 Google 會故意換到 IP address。 [...] [...] 回過頭來提 Google 對 XSS 的應對 這篇,假設有人 (舉個例,www.example.com) 在網站上放個 Javascript,用 XMLHttpRequest() 硬連 mail.google.com (Gmail) 的某些 function。在平常的時候,會因為 example.com != google.com 而無法產生 XMLHttpRequest Object,但是在「頁庫存檔」的時候就會在同一個 Domain 下!於是 Google 必須避免這種情況:那我就硬把 http://www.google.com 換成 IP address,這樣就沒問題了。你可以測試 http://www.google.com/search?q=cache:http://www.google.com/intl/zh-TW/features.html 這個頁面,你會發現 Google 會故意換到 IP address。 [...]

]]>