共有
  • 記事へのコメント22

    • 注目コメント
    • 新着コメント
    その他
    zuborawka
    zuborawka 埋め込みのjavascriptの危険性を詳しく解説。今までエスケープしていたと思っていたものがそうでなかったことを知ってショック

    2013/05/12 リンク

    その他
    tksmd
    tksmd script タグ中のエスケープの方針

    2012/12/11 リンク

    その他
    kireifish
    kireifish HTML エスケープ処理

    2012/02/10 リンク

    その他
    akiyan
    akiyan .

    2011/12/06 リンク

    その他
    naga_sawa
    naga_sawa js入りHTMLを出力する場合のエスケープについて/用心しないと一筋縄じゃいかない

    2011/07/11 リンク

    その他
    escape_artist
    escape_artist 難しいっす。「これで完璧」という書き方は場合によって変化する。

    2011/06/06 リンク

    その他
    cnomiya
    cnomiya 良記事|過剰エスケープしていなければ、[% value | html | js | html %]で基本OK?

    2010/11/25 リンク

    その他
    raimon49
    raimon49 HTML, JSON (JavaScript変数), document.write() などのコンテキストに応じて適切なエスケープ方法を使い分けることの難しさについて。HTMLエスケープされたhiddenから取り出す、というのは一つの安全策。

    2010/11/19 リンク

    その他
    monjudoh
    monjudoh 『すでに画面に出力されているならDOMで拾ってくるのが良い、scriptを動的に生成するのは避けるべき』でFAだと思う。そうして安全に埋めこまれたものをバカが出力時エスケープしないで使うことまで考慮したらキリがない

    2010/11/18 リンク

    その他
    SurgicalStrike
    SurgicalStrike javaScriptのエスケープ処理に起因するXSSがとても多い件

    2010/11/16 リンク

    その他
    nilab
    nilab んー、よくわかんにゃい…まぁHTMLとJavaScriptのコードのエスケープ処理内容は別だよね、うん。 / HTMLのscriptタグ内に出力されるJavaScriptのエスケープ処理に起因するXSSがとても多い件について

    2010/11/15 リンク

    その他
    tasukuchan
    tasukuchan これmalaさんに指摘してもらったスゲー助かった

    2010/11/15 リンク

    その他
    ockeghem
    ockeghem JavaScriptのエスケープ処理に起因するXSS脆弱性が多いのは同意。hiddenパラメータの参照を推奨。escape_jsが\をエスケープしていないのは単純に脆弱性だよね。MySQLで\をエスケープしないのと同じ

    2010/11/14 リンク

    その他
    kogawam
    kogawam ブクマの人たちへ念のため。普通は次の様な方法で済むはず (1)hidden値をJS変数に突っ込んで使う(doc.writeやevalしない) (2)複雑データはJSONを別ファイルで/scriptタグ内出力は最後の手段

    2010/11/14 リンク

    その他
    yocchi24
    yocchi24 …JSのセキュリティについて。必読。

    2010/11/13 リンク

    その他
    hidehish
    hidehish 見てる:

    2010/11/13 リンク

    その他
    itouhiro
    itouhiro はてなグルーブは、バックスラッシュがChrome/Safariで正しく表示できてるね。

    2010/11/13 リンク

    その他
    hatotaka
    hatotaka HTMLのscriptタグ内に出力されるJavaScriptのエスケープ処理に起因するXSSがとても多い件について - 金利0無利息キャッシング – キャッシングできます - subtech

    2010/11/13 リンク

    その他
    efcl
    efcl HTMLタグエスケープとJavaScriptエスケープ。 jSONを扱う場合の注意。 エスケープされたものが外部から渡されてる場合はunescapeした上でescape。(信用の問題)

    2010/11/12 リンク

    その他
    hide_o_55
    hide_o_55 だいたい鯖側のテンプレートで処理してる

    2010/11/12 リンク

    その他
    kamipo
    kamipo 「単純にいえばこういうコードを書くのは避けたほうがいい。」

    2010/11/12 リンク

    その他
    denken
    denken あとでブクマする

    2010/02/23 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

    はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはて...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - 暮らし

    いま人気の記事 - 暮らしをもっと読む

    新着記事 - 暮らし

    新着記事 - 暮らしをもっと読む

    同時期にブックマークされた記事