エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
XSS対策の基本は、信頼できない入力をすべてチェックし、出力時に正しくエスケープすることにつきる。そ... XSS対策の基本は、信頼できない入力をすべてチェックし、出力時に正しくエスケープすることにつきる。そんなことわかっているのにXSSが発生してしまうのは、エスケープ漏れを機械的に判別する方法がない(すなわち人手によるレビューに頼っている)から。*1 Perlにはご存知のように「汚染モード」というものがあります。これをXSS対策に使ってみようというお話。 まず、HTMLをprint文でばらばらに出力するのをやめます。具体的には、HTMLを組み立てる変数を用意して、1度にprint文で出力するようにします。で、printする直前にこの変数の汚染チェックをすればOK。 my $html; # HTML組み立て用変数 $html .= ... # printせずに変数に追加。 ... { my $x = $html, kill 0; } # 汚染チェック。 print $html; # HTML出力