記事個別表示 (4779)
これは「水無月ばけらのえび日記 : JavaScript のリテラルに任意の文字列を出力してみる」に関連するコメントです。
[4779] Re: 「JavaScript のリテラルに任意の文字列を出力してみる」
えむけい (2008年1月26日 5時6分)
>>・XHTMLとして「正しく」解釈された場合
>>の意味がよくわかりません。XHTML(=XML)のコメント中では--は出現禁止(出現すると整形式ではなくなる)じゃありませんでしたっけ。
> です。
> なので、その禁止物がインジェクションされると困るという話です。
整形式制約違反は致命的エラーで、
http://www.w3.org/TR/xml/#dt-wfc
致命的エラーの場合XMLプロセッサは通常の処理を続けてはならないので、
http://www.w3.org/TR/xml/#dt-fatal
スクリプトが実行されたりすることはないと思います。
任意の文字列を入力できなければならないという要件なのに「--」を入力できないので仕様を満たしていないという点は困るかもしれませんが、少なくともこの点に関しては危険ではないはずです。
パーサが正しくないなら話は別ですが
> XHTML として「正しく」解釈された場合
とわざわざ断っているので余計に意味がわかりません。
これは「水無月ばけらのえび日記 : JavaScript のリテラルに任意の文字列を出力してみる」に関連するコメントです。
全読: [4775]Re: 「JavaScript のリテラルに任意の文字列を出力してみる」からのスレッド(7件)]