Safariで偽装URLを見破るテスト
最近巷をにぎわしている例の脆弱性を、Safariで見破るユーザスタイルシートのテスト。
以下のように見えます。
方法としては、ユーザスタイルシートに以下を追記するだけ。
A[href][onclick*="%"]::after { display:block; position:relative; top:0; left:20; backgroundcolor:yellow; color:black; fontweight:bold; content:"<< FAKE URL? >>" attr(onclick)} A[href*="@"][href*="%"]::after { display:block; position:relative; top:0; left:20; backgroundcolor:yellow; color:black; fontweight:bold; content:"<< FAKE URL? >>" attr(href)}
私が、いまだ、この脆弱性が及ぶ範囲とどのような偽装パターンがあり得るかどうかをカバーしていないため、全ての偽装を見破ることはできないはずですが、より単純なルール(@を含んでたら全部疑うとか)にすることで、もう少し信頼度が向上するのではないでしょうか。