これは恐いなあ。取得するデータにタグが一切入ってないはずという前提なら、無条件にエスケープすればいいんだけど、brとかaとかの一部のタグが許されるという前提だったら、想定してないタグの削除とか、...
これは恐いなあ。取得するデータにタグが一切入ってないはずという前提なら、無条件にエスケープすればいいんだけど、brとかaとかの一部のタグが許されるという前提だったら、想定してないタグの削除とか、属性のチェックとかもしないといけないよなあ。これが定番というような処理方法はあるのかな。twitterのXSSとJSON in ECMAScriptと外部JSONを安全に取り扱うためのアプローチ - 金利0無利息キャッシング – キャッシングできます - subtech - こたぶ
Atom Feed