何処でエスケープするのかハッキリしないと
2008年11月12日(水曜日)
何処でエスケープするのかハッキリしないと
公開: 2024年4月19日13時45分頃
- なかなか直らないMovable TypeのXSS脆弱性の訳 (rryu.sakura.ne.jp)
- Railsアプリでは&を入力できない (rryu.sakura.ne.jp)
エスケープを行う場所が明確になっていないと複雑になって訳が分からなくなったり、過剰エスケープを回避できなくて困ったりするというお話。
……なんか、前者を見ると「Movable Typeは何回も何回もXSS脆弱性を修正したが、いまだに修正できていない」と言っているように見えて仕方がありませんが、気のせいということで。
※脆弱性が残っているとは言っていないけれども、残っていないとも言っていない。:-)
- 「何処でエスケープするのかハッキリしないと」へのコメント (1件)
関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性
- 前(古い): 自動保存で知らないうちに全世界に公開
- 次(新しい): 久々にCSSXSSの話
