こちら で話になってる UTF-7 を使って XSS 脆弱性となりうるテキストを送り込む話。
IE や Firefox では症状が出るが、Safari っつーか Webkit では無問題。何故って?原因となる「文字コードの自動認識」なんて機能がないから(笑)
自動認識しなくても、手動で UTF-7 を選べば発症するはずですが、選ぼうにも、Safari のメニューには UTF-7 はないなぁ。WebKit を直たたきしてブラウザ作って(先日Chmoxでやったように) Encoding に UTF-7 を指定してみればいいだけの話だが、サポートしているかと言われると微妙に疑問。少なくとも NSString はサポートしてないのよね。KHTML がサポートしているかは知らないけどさ。
ま、気が向いたら適当にサンプルブラウザコードをいじって試してみます。
