CSSXSSについての質問（すでに対策がされたかどうか、について）

回答率: 85.47%

質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

新規登録して質問してみよう

ただいま回答率: 85.47%

トップ XSSに関する質問

Q&A

2回答

2227閲覧

CSSXSSについての質問（すでに対策がされたかどうか、について）

総合スコア65

0グッド

3クリップ

投稿2015/06/10 12:34

0

3

ユーザーが自由に、自分のユーザーページをCSSで装飾できるようなWebアプリを開発しようと思っております。

しかし、IEにはCSSXSS脆弱性があったということを知っているので、対策方法を調べてみましたが、情報量が少なかったので質問させていただきます。

１０年ほど前に、すでにこの脆弱性に対するパッチが配布された、という情報を見つけたのですが、これは、CSSXSSを気にする必要はもうすでに無い、ということでしょうか？

ちなみに、IE6のような古すぎるIEからのアクセスは拒否する予定です。

行動規範の内容に同意します

回答2件

0

CSSXSSは、ブラウザが「CSSでない」ファイルをCSSだと誤認して読み出せてしまうことによる脆弱性であって、CSSに特殊な記述をすることで発生する脆弱性ではありません（@ITより）。

一方で、IE7までには、CSS内でJavaScriptを書ける「expression」という独自拡張があります。色々できてしまうのですが、厳密に対応するのは難しいこと、IE8でもedgeモードでは動かないこと、ユーザー自身が設定するものであることを踏まえれば、放置しておいてもそこまで深刻な問題になることもないと思います。

投稿2015/06/11 00:20

総合スコア145201

2015/06/11 14:01

回答ありがとうございます。 expressionは深刻な問題にならないということですが、「CSSだと誤認して読み出せてしまうことによる脆弱性」の方は、無視しても良いのでしょうか？(@import のCSSファイルの検証もする、など)

2015/06/12 00:17

上の@ITの図にあるように、攻撃者の設置したWebサイト経由でCSSXSS攻撃を仕掛けることも可能なので、サイト内で使うCSSを確認したところでまったく対策になりません。ブラウザ側で対策してもらうしかありません。

行動規範の内容に同意します

0

CSSXSSを気にする必要はないと思われます。
パッチが当たっていないようなPCは影響を受けるかもしれませんが、それはそのPCの自己責任でしょう。

投稿2015/06/11 00:26

総合スコア1464

2015/06/11 13:59

回答ありがとうございます。「ユーザーの自己責任」ということも考えてみます。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.47%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問

トップ XSSに関する質問

CSSXSSについての質問（すでに対策がされたかどうか、について）