Hatena::ブログ(Diary)

うさぎ文学日記 RSSフィード

 うさぎ文学日記甘味日記[甘味]

2007-01-04

PDFファイルでXSSが可能!危険度高し

| PDFファイルでXSSが可能!危険度高しを含むブックマーク

WebサイトにPDFファイルが置いてある場合、下記のようにすることでスクリプトが実行できてしまうという問題です。

http://path/to/pdf/file.pdf#whatever_name_you_want=javascript:your_code_here

サーバー側の対処としては、標準の「application/pdf」ではなく、「application/octet-stream」で開くようにすればブラウザ内でPDFファイルを開かず、外部アプリケーションとして開くことになるので回避できる様子。ただし、PDFファイルをブラウザ外で開くことになるので、PDFを主なコンテンツとしているようなWebサイトでは使い勝手が変わってしまう。設定変更を実施する際には顧客の理解が必要でしょうか。

設定はbunさんの「"週"記(2007-01-04)」が参考になります。(下記は引用)

<Files "*.pdf">
Header set Content-Disposition: attachment
ForceType application/octet-stream
</Files>

ユーザー側の対処としては、Acrobat Readerを Ver.8.0.0以降にするとよいようです。アップデートが必須です。

すずきすずき 2007/01/05 21:44 オフラインインストーラはこちら。
http://ardownload.adobe.com/pub/adobe/reader/win/8.x/8.0/jpn/AdbeRdr80_ja_JP.exe


2003 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2012 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2013 | 02 | 03 | 05 | 11 |
2014 | 06 | 08 |
2016 | 07 |
Connection: close