WEB相談室

Webページ作成に関しての何でも掲示板です。

タイトル:VBScriptの値をJavaScriptへ

0:[投稿] ここ [2003/05/13 14:59 ][環境:IE6、WIN2000 ASP、VBSCRIPT、JAVASCRIPT]

Vbscriptの変数に入れた値をJavascriptの中で使いたいのですが、同じ変数名では値の取得ができません、どうすればよいでしょうか?

例えば...
−−−−−−−−−−−−−−−−−−−−
<HEAD>
<% 
Dim strbeforeScreen
strbeforeScreen= Request("KBN")
%>
</HEAD>

<script language="javascript">
<!--
Function AA()
{
 if(strbeforeScreen.value == "1")
 {
  alert("1")
 }
 else if(objRadio.value == "2")
 {
  alert("2")
 }
}
-->
−−−−−−−−−−−−−−−−−−−−
というような感じで、
Vbscriptで strbeforeScreen という関数に前画面からの値を入れています、
その値をFunctionで使いたいのです。

教えてください。


1:[回答] andi [2003/05/13 18:35 ]

var strbeforeScreen = <%= strbeforeScreen %>
Function AA()
{

ではどうですか。


2:[回答] andi [2003/05/13 18:36 ]

var strbeforeScreen = "<%= strbeforeScreen %>";

かな。


3:[回答] ひじ [2003/05/13 21:11 ]

>>2
それだとURIに ?KBN="--></script><body%20onload="alert('hello')"> とか付けると楽しいことになります。

var strbeforeScreen = "<%=Server.HTMLEncode(strbeforeScreen)%>";


4:[完了] ここ [2003/05/14 14:25 ]

ありがとうございました!
できました。


5:[完了] :-| [2003/05/14 19:01 ]

>>3

strbeforeScreen= Request("KBN")
というか、こっちの時点でどうにかすべきだろう。


6:[完了] ひじ [2003/05/14 23:07 ]

>>5
一般にクロスサイトスクリプティング脆弱性への対策は、データの入力時ではなく、HTML出力時にしなければ意味がない。
http://www.parkcity.ne.jp/~chaichan/qanda/qa3373.htm#r32
でも同じことを書いた。

しかし、この例の場合は、 >>3 は HTML への対策はできても、JavaScriptへの対策を怠ってしまっている。そのため、任意の JavaScript を実行できてしまう。

この例の場合は、 >>5 の言う通り、入力時のチェックも行う必要がある。


7:[完了] :-| [2003/05/15 14:08 ]

つーか、

Request("KBN")

この部分がすでに危ういわけであるのだが、それがわからない?


8:[完了] ひじ [2003/05/15 19:34 ]

>>7
危うくないです。
Request("KBN")は汚染されていますが、 >>0 を見る限り、この汚染された値は、 JavaScript の if 文でのチェックでしか使用されていません(汚染が伝染しない)。
ASP → HTML,JavaScript の時のクロスサイトスクリプティング脆弱性さえクリアされれば、問題はありません。


9:[完了] たこすけ [2003/05/16 20:26 ]

>>7
↓こういった意味ですか?
http://www.ipa.go.jp/security/awareness/vendor/programming/a05_01.html
# ちなみに >>6 のリンクから辿れました。

>>8
> ASP → HTML,JavaScript の時のクロスサイトスクリプティング脆弱性さえクリアされれば、問題はありません。
ページが改竄されなければ, データが改竄されても問題無い
という意味に取れてしまうのですが…(汗


10:[完了] chintara [2003/05/17 14:39 ]

イントラのアプリかもしれないし、XSSうんぬんは質問者におまかせしたい気持です。

回答(必須): 状態:

お名前(必須):

e-mail:

URL:




[戻る]

ChaichanPAPA's World