日経クロステック

対策遅らせるHTMLエンコーディングの「神話」

クロスサイト・スクリプティングという言葉は元々,WebアプリケーションのHTMLエンコード漏れなどを利用することによって第三者にJavaScriptを実行させる手法を指す。広義では,HTMLのエンコードによる画面改変などを含むこともある。 前回述べたように ...
b.0218

HTMLの文字エンコーディングはUTF-8でなければならない

HTML Living Standardには、文字エンコーディング宣言について以下の定義がある。 Regardless of whether a character encoding declaration is present or not, the actual character encoding used to encode the document must be UTF-8.
日経クロステック

第7回 文字エンコーディングが生み出すぜい弱性を知る

文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字 ...
技術評論社

第2回 UTF-7に よる クロスサイトスクリプティング攻撃 [後編]

前回に引き続き、 UTF-7によるクロスサイトスクリプティング (XSS) について説明していきます。 UTF-7によるXSSは、 攻撃対象のコンテンツの文字エンコーディングが不明瞭な場合に、 そのコンテンツを被害者のブラウザ (Internet Explorer) で開いたときに ...
技術評論社

第20回 文字エンコーディングと セキュリティ (2)

前回に引き続き、 今回も文字エンコーディングとセキュリティをテーマに解説します。前回は文字エンコーディングを利用した攻撃で、 JavaScriptインジェクションやSQLインジェクションなどが可能であることを紹介しました。今回はなぜ、 文字 ...
GitHub

Scrapy can not auto detect GBK html encoding

Thanks you guys for the great framework. I am using scrapy to crawl multiple sites. Sites are diffrerent encodings. One site is encoding as 'gbk' and it's declared in HTML meta. but scrapy can not ...