[247] Re: えび日記 : 「XSS大王の傾向と対策」

記事個別表示 (247)

これは「水無月ばけらのえび日記 : XSS大王の傾向と対策」に関連するコメントです。

[247] Re: えび日記 : 「XSS大王の傾向と対策」

えむけい (2003年7月5日 0時52分)

>>会員じゃないのでできるのか否かはわかりませんが(謎)、出力時にサニタイズすればいいのに。

>　というか、6/20 に行われた「緊急対処」は、無差別に出力時にサニタイズしてタグを全て無効化するという対処でした。なのでそれは可能どころか実際に行われていたわけです。

>　一生このままで良かったのではないかと思うのですか、7/3 に何故か入力時に特定タグだけ消す処理が入りました。これは以前もあったようですが、ルーチンが変わって style 属性なども弾くようになりました。

>　で、ここで出力時のサニタイズを無効にするつもりだったのでしょうが、何らかの事情でそれは出来なくて、現状は入力時と出力時の両方にサニタイズが行われるという状態になっています。しかも入力時サニタイズはタグをエスケープするのではなくて削除しているので、現状ではタグが一切使えない上に HTML の話題に支障が出るという、ものすごい状態になっています。

>　つくづく意味が分かりませんが、まあともかくそんな感じです。

不用意に消去フィルタを入れて他のフィルタと適用の順番を間違えたりすると凄いことになるとスターダストさん【誰】とかが言ってた気がしますが本当に大丈夫でしょうかね【謎】。

スターダストさんといえば【謎】図書券をくれるというのでメーってみたらその後なしのつぶてなのですが、もしかして見事にソーシャルハクられましたか【謎】。

これは「水無月ばけらのえび日記 : XSS大王の傾向と対策」に関連するコメントです。
全読: [240]Re: えび日記 : 「XSS大王の傾向と対策」からのスレッド(4件)]
- [240] Re: えび日記 : 「XSS大王の傾向と対策」 : いわい (2003年7月4日 19時31分)
  - [243] Re: えび日記 : 「XSS大王の傾向と対策」 : ばけら (2003年7月4日 21時40分)
    - [246] Re: えび日記 : 「XSS大王の傾向と対策」 : いわい (2003年7月4日 22時42分)
    - [247] Re: えび日記 : 「XSS大王の傾向と対策」 : えむけい (2003年7月5日 0時52分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >>>会員じゃないのでできるのか否かはわかりませんが(謎)、出力時にサニタイズすればいいのに。 >>　というか、6/20 に行われた「緊急対処」は、無差別に出力時にサニタイズしてタグを全て無効化するという対処でした。なのでそれは可能どころか実際に行われていたわけです。 >>　一生このままで良かったのではないかと思うのですか、7/3 に何故か入力時に特定タグだけ消す処理が入りました。これは以前もあったようですが、ルーチンが変わって style 属性なども弾くようになりました。 >> >>　で、ここで出力時のサニタイズを無効にするつもりだったのでしょうが、何らかの事情でそれは出来なくて、現状は入力時と出力時の両方にサニタイズが行われるという状態になっています。しかも入力時サニタイズはタグをエスケープするのではなくて削除しているので、現状ではタグが一切使えない上に HTML の話題に支障が出るという、ものすごい状態になっています。 >> >>　つくづく意味が分かりませんが、まあともかくそんな感じです。 > >不用意に消去フィルタを入れて他のフィルタと適用の順番を間違えたりすると凄いことになるとスターダストさん【誰】とかが言ってた気がしますが本当に大丈夫でしょうかね【謎】。 >スターダストさんといえば【謎】図書券をくれるというのでメーってみたらその後なしのつぶてなのですが、もしかして見事にソーシャルハクられましたか【謎】。

新生鳩丸掲示板♯

記事個別表示 (247)

[247] Re: えび日記 : 「XSS大王の傾向と対策」