記事個別表示 (243)
これは「XSS大王の傾向と対策 | 水無月ばけらのえび日記」に関連するコメントです。
[243] Re: えび日記 : 「XSS大王の傾向と対策」
ばけら (2003年7月4日 21時40分)
>会員じゃないのでできるのか否かはわかりませんが(謎)、出力時にサニタイズすればいいのに。
というか、6/20 に行われた「緊急対処」は、無差別に出力時にサニタイズしてタグを全て無効化するという対処でした。なのでそれは可能どころか実際に行われていたわけです。
一生このままで良かったのではないかと思うのですか、7/3 に何故か入力時に特定タグだけ消す処理が入りました。これは以前もあったようですが、ルーチンが変わって style 属性なども弾くようになりました。
で、ここで出力時のサニタイズを無効にするつもりだったのでしょうが、何らかの事情でそれは出来なくて、現状は入力時と出力時の両方にサニタイズが行われるという状態になっています。しかも入力時サニタイズはタグをエスケープするのではなくて削除しているので、現状ではタグが一切使えない上に HTML の話題に支障が出るという、ものすごい状態になっています。
つくづく意味が分かりませんが、まあともかくそんな感じです。
これは「水無月ばけらのえび日記 : XSS大王の傾向と対策」に関連するコメントです。
全読: [240]Re: えび日記 : 「XSS大王の傾向と対策」からのスレッド(4件)]