Shibuya.XSS techtalk #11 行ってきた | Advent Calendar 2019
IT系の勉強会行ってきた Advent Calendar 2019 - Adventar の8日目
JavaScript全然ワカラナイけどXSSは心配なので聞きに行く。
Cross-Origin でも見えるもの
- XSSの次の攻撃はどうなる Post-XXS
XS-Leaks and XS-Search(ブラウザのside-channelsを活用) - サーバーサイドではなくフロント側でも対応
JSでDoSる
Site Isolationの話
- DataURLをiframeで表示するのは危険
- 機密ファイルでクロスサイトに読み込まれる必要ないものはCORPヘッダーを設定
- 信頼できないローカルファイルをブラウザでは開かない
Json内のデータはちゃんとチェックしたいと思いました。