タグが使えないチャットでタグを有効にするにはどうしたらいいですか？

URIはダミーです。

どこでできたのか教えてください。

そのプログラムによります。

ちなみに無効にしているのに、使えるということはおそらくプログラムのバグで、その中学生はそのバグを知っているということになります。

そして悪用される可能性があります。

ここなどはどうでしょうか

質問からは分かりませんが、Perlで書かれたチャットであると仮定して話を進めます。

プログラム中に、以下の例に似た部分があれば、それを無効にすることで、目的を達成できると思います。

$html =~ s/</</g;

$html =~ s/>/>/g;

無効にする方法は、その行の先頭に # を付けてください。

つまり、

$chat =~ s/</</g;

$chat =~ s/>/>/g;

という行があったら、

#$chat =~ s/</</g;

#$chat =~ s/>/>/g;

としてください。

キモの部分は、=~から始まってg;までの中に、lt;とかgt;が入っているかどうかです。

URLはダミーです。

要するに客として訪問しているチャットでタグを使いたいということですよね？

スクリプトでタグが禁止されているのであれば、どう頑張っても使えるはずがありません(^-^;

それでもタグが使えている人がいるとするなら、管理人かあるいは管理人が許した特定の

ハンドルの人だけでしょう。無制限にタグを許可していないというわけです。

あるいは実際にタグを打ち込むのではなく、<RED>こんにちは</RED>のように、

そのチャット内オリジナルのタグが存在するのでしょう。

一番いいのは、管理人かタグが使えている他の訪問者に「どうやって出すんですか？」と直接

質問されることだと思います。

ただしHELPや注意書きがあるのであれば必ず目を通しておかないと、イヤミを言われるかも。

URLはダミーです。

まず間違いなく、一定の方法はないですね。

チャットシステムが入力したデータを格納したり、その後格納したデータから交信記録のHTML

にデータをを書き戻すときにXSS防止のためにサニタイズするわけですが、そこをすり抜けられるように最初のデータを組み立てようという話ですから。

チャットプログラムの原型(最初の著作者が表示されていて、その人のサイトでスクリプトを配っているケースが多いようです)を入手し、

各プログラムごとに書き戻し後に<や>になるように%3Cb%3E作戦を練る%3C/b%3Eことになります。

あとはスクリプトが入力を受け付ける手段を確認する必要もあります。

まあ、できるってことはXSSの穴があるってことですから、本来ならば見つけ次第管理者に連絡する必要があるんですが。

不確実情報なのでポイントは要りません。

CGI側のスクリプティングによってできるかできないかわからないのですが、エンティティ参照でフィルタを抜けられるかも。もしできても、この知識を悪用しないでくださいね。