JavaScript無しでフォームをコントロール

(更新日: 2008/09/03)

言われてみれば、そう言えばそんな機能があったね、と思うような機能はよくあります。
JavaScript無しでフォームを制御する方法はHTML4が策定されている時に追加された機能です。

http://www.w3.org/TR/html401/interact/forms.html#h-17.2.1

以下のLABELタグのサンプルは http://www.0x000000.com/?i=635 より拝借しています。

通常のサイトではここまで自由にタグが記述できるようにはなっていないので問題となることはほとんど無いでしょう。

しかし、悪意があるサイトの場合は別です。実際に悪用できる場合、CSRFの様に利用できます。JavaScript無しもでページを表示するだけでCSRFを行う事が出来ます。JavaScriptが利用できなくても悪意のあるサイトと脆弱性が放置されたサイトが組合わさると防ぐことが出来ない場合がある、という良い例だと思います。

Comments

comments

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です