« 「拡張子ではなく、内容によってファイルを開くこと」は『クロスサイトスクリプティングを許すこと』と同じ。 | トップページ | 画像やテキストファイルなど、HTML以外のファイルをIEで開くのは危険です! »

2006年12月10日 (日)

「信頼済みサイトゾーン」の設定は危険です!

一般にクロスサイトスクリプティングを許す設定になっています。

「信頼済みサイトゾーン」や「イントラネットゾーン」の設定は、
一般に「中」以下にすることが普通ですが、
「中」以下の設定では「拡張子ではなく、内容によってファイルを開くこと」を
「有効にする」ため、クロスサイトスクリプティングを許容します。

一般に、「怪しいURLをクリックすると危険です。避けましょう。」と言われていますが、
実際には、「信頼済みサイト」や「イントラネット」のURLをクリックすることも危険なのです。

« 「拡張子ではなく、内容によってファイルを開くこと」は『クロスサイトスクリプティングを許すこと』と同じ。 | トップページ | 画像やテキストファイルなど、HTML以外のファイルをIEで開くのは危険です! »