2005-03-13 ゲートウェイ対策製品におけるRFC 2397:URLスキーム「data:」の悪用による悪意あるコードの検出回避脆弱性に関するご報告 (Trend) TREND RFC2397で、data:属性の検地ができない問題があるそうです。 ただし、パターンによるシグニチャ検地はするのでOKとのこと。 RFC2397ってのは、URI上で、Base64でデータを記述できるってやつですね。 対象 InterScan Messaging Security Suite InterScan Web Security Suite InterScan VirusWall for Small and Medium Businesses InterScan VirusWall for Windows NT InterScan VirusWall for UNIX Trendさんほんと? 先ほど某氏と話していたんですが、data:って、URI上ですよね。 JavaScriptで動的にURIを作り出して・・・(ry 中味を微妙に変えてみるとか、 まぁ、基本は出来上がる画像だとおもうので 影響がないという判断でしょうねぇ。