新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > [243] Re: えび日記 : 「XSS大王の傾向と対策」

記事個別表示 (243)

[243] Re: えび日記 : 「XSS大王の傾向と対策」

ばけら (2003年7月4日 21時40分)

>会員じゃないのでできるのか否かはわかりませんが(謎)、出力時にサニタイズすればいいのに。

 というか、6/20 に行われた「緊急対処」は、無差別に出力時にサニタイズしてタグを全て無効化するという対処でした。なのでそれは可能どころか実際に行われていたわけです。

 一生このままで良かったのではないかと思うのですか、7/3 に何故か入力時に特定タグだけ消す処理が入りました。これは以前もあったようですが、ルーチンが変わって style 属性なども弾くようになりました。

 で、ここで出力時のサニタイズを無効にするつもりだったのでしょうが、何らかの事情でそれは出来なくて、現状は入力時と出力時の両方にサニタイズが行われるという状態になっています。しかも入力時サニタイズはタグをエスケープするのではなくて削除しているので、現状ではタグが一切使えない上に HTML の話題に支障が出るという、ものすごい状態になっています。

 つくづく意味が分かりませんが、まあともかくそんな感じです。

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

:

:

:

最近の日記

関わった本など