XSS対策:JavaScriptなどのエスケープ - ockeghem's blog

暮らしカテゴリーの変更を依頼記事元:

ockeghem.hatenablog.jp

56 usersがブックマークコメント

コメント

6

記事へのコメント6件

注目コメント
新着コメント

nilab JavaScript の動的生成は難しい。「スクリプトの内容を動的生成するのを避けるというガイドラインを推奨したい。具体的には、パラメータ部分をHTMLのhidden fieldとして定義して、スクリプトから参照する形をとればよい」

2019/10/04 リンク

spodophyllum XSS

2013/10/16 リンク

kyohei_hamada 『具体的には、パラメータ部分をHTMLのhidden fieldとして定義して、スクリプトから参照する形をとればよい。そうすれば、スクリプトは固定にしたうえで、動的なパラメータを与えることが出来る。もちろん、hiddenフィール

2010/06/18 リンク

learn スクリプトの内容を動的生成するのを避けるというガイドラインを推奨したい。具体的には、パラメータ部分をHTMLのhidden fieldとして定義して、スクリプトから参照する形をとればよい。

2009/11/28 リンク

mainyaa 気をつけよう

2007/05/17 リンク

oinume 参考になりました。

javascript

2007/05/17 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

{{ total_bookmarks_with_user_postfix }}{{ root_title }}

XSS対策:JavaScriptなどのエスケープ - ockeghem's blog

昨日の日記に対して、id:ikepyonさんからトラックバックを頂戴した。内容はそちら(Tipsと考え方とXSS対... 昨日の日記に対して、id:ikepyonさんからトラックバックを頂戴した。内容はそちら(Tipsと考え方とXSS対策)を読んでいただくとして、興味深いテーマなので少し突っ込んでみたい。 # 日によって「です・ます」で書いたり、「だ・である」で書いているのは気分の問題なので、あまり気にしないでいただきたい Tipsだけでなく、物事の本質を見極め、何が危険で、何が安全なのかということを考える必要があると思う。昨日の記事は、(一般的な)XSS対策として、どの文字をエスケープするのが「本質的」だったかを考えたかったのであって、あれをTipsととらえると確かに失敗する。 JavaScriptのスクリプトなどが入っている場合も昨日と同じ方法論で考えることは可能である。まずはこれを検討してみよう。スクリプトがonXXXのイベントハンドラとして記述されている場合この場合は、HTMLタグの属性値として

ブックマークしたユーザー

nilab2019/10/04
kqtts2015/06/13
about_hiroppy2015/06/05
spodophyllum2013/10/16
sucrose2012/06/14
shirotorabyakko2012/05/18
rubellum2012/04/12
lEDfm4UE2012/02/18
yyamano2012/02/16
persee2011/11/16
kknsd2011/10/19
t_z2011/09/15
harukasan2011/08/26
kyohei_hamada2010/06/18
Layzie2010/06/11
a6666662010/06/11
kamipo2010/05/19
ocs2009/12/17

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - 暮らし

いま人気の記事 - 暮らしをもっと読む

新着記事 - 暮らし

新着記事 - 暮らしをもっと読む

設定を変更しましたx