Paweł Goleń, blog - Formularz komentarzy "Wykorzystanie data: do wstawienia skryptu"

Paweł Goleń, blog - Formularz komentarzy "Wykorzystanie data: do wstawienia skryptu" https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:14:57 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png RSS: Paweł Goleń, blog - Formularz komentarzy "Wykorzystanie data: do wstawienia skryptu" - Paweł Goleń, blog - Zrzędzenie starego zgreda https://archive.mroczna-zaloga.org/ 100 21 Paweł Goleń: Wykorzystanie data: do wstawienia skryptu https://archive.mroczna-zaloga.org/archives/779-wykorzystanie-data-do-wstawienia-skryptu.html#c1885 https://archive.mroczna-zaloga.org/archives/779-wykorzystanie-data-do-wstawienia-skryptu.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=779 nospam@example.com (Paweł Goleń) W IE jest funkcja, która nazywa się MIME sniffing, która powoduje trochę problemów... Może w tym wypadku jest podobnie? Jeśli podany jest nieprawidłowy (nieistniejący) typ MIME, przeglądarka próbuje się "domyślić", albo dobiera z kontekstu? W każdym razie ciekawy temat. Sat, 12 Dec 2009 15:24:19 +0100 https://archive.mroczna-zaloga.org/archives/779-guid.html#c1885 Krzysztof Kotowicz: Wykorzystanie data: do wstawienia skryptu https://archive.mroczna-zaloga.org/archives/779-wykorzystanie-data-do-wstawienia-skryptu.html#c1884 https://archive.mroczna-zaloga.org/archives/779-wykorzystanie-data-do-wstawienia-skryptu.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=779 nospam@example.com (Krzysztof Kotowicz) Grr, komentarze sa filtrowane ;) w poniższym tekście trzeba oczywiscie zamienić znaki.. base64 encodowany był ciąg: "[script]alert(1)[/script]" a przeglądarka przy braku MIME wyświetlała właśnie ten ciąg. Sat, 12 Dec 2009 15:08:44 +0100 https://archive.mroczna-zaloga.org/archives/779-guid.html#c1884 Krzysztof Kotowicz: Wykorzystanie data: do wstawienia skryptu https://archive.mroczna-zaloga.org/archives/779-wykorzystanie-data-do-wstawienia-skryptu.html#c1883 https://archive.mroczna-zaloga.org/archives/779-wykorzystanie-data-do-wstawienia-skryptu.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=779 nospam@example.com (Krzysztof Kotowicz) Można to wykorzystać nie tylko do zagnieżdżenia skryptu z innej strony (o tym nawet nie pomyślałem, wykorzystałem to to wstrzyknięcie base64encodowanego ciągu "alert(1)" do src iframe'a. Ale najciekawsze jest to: http://en.wikipedia.org/wiki/Data_URI_scheme#Format w URI scheme data: parametr MIME jest opcjonalny (default to text/plain). Jeśli pominę typ MIME, przeglądarka (testowane tylko na FF 3.0) potraktuje zawartość jako plain text, po prostu wyświetlając "(...)" w ramce. Natomiast jeśli wpiszę niestniejący typ mime (bez znaku "/", bo tego wymagało zadanie), np "anything" - to już jest HTML i skrypt zostanie wykonany. Bug? Sat, 12 Dec 2009 15:05:45 +0100 https://archive.mroczna-zaloga.org/archives/779-guid.html#c1883