この記事はReplay.fm Advent Calendarの3日目の記事です。前日の記事は@sota1235の『記事紹介 / 閲覧者自身の操作によりマルウエア感染を狙う攻撃 ClickFix についてまとめてみた』でした。
今日紹介する記事は『ISO-2022-JPによるXSSの話 - 葉っぱ日記』です。
文字コードXSS界隈の久々の話題で、2025年は文字コードXSSの年だったといえるでしょう。しかも震源地が海外ということで、文字コードXSS界隈も大きくなったなぁと思いました。
細かいところは記事を読んで欲しいのですが、文字コードの誤認によるトラブルってセキュリティ上の問題に限らず文字化けしてしまうとかもあって、少なくとも日本語圏の人にとっては割と身近な問題なのかな、と思います。
例えばとほほのWWW入門でもおまじないとしてHTML文書の最初の方にその文字コード特有の文字を仕込んでおくことでブラウザが適切な文字コードを選択してくれる、みたいな古の黒魔術が紹介されていたりします。いわゆるContent Sniffingってやつですね。
こういうのが未だに出てくるのでWebはやっぱりおもしろいなーと思いますね。