スレッド内全記事表示 (記事 7320 からのスレッド)

えむけい (2012年5月1日 0時35分)

> HTML5のa要素にはname属性はありません。

"Obsolete but conforming features"にいちおう含まれているので、「ありません」と言い切るのは微妙な感じがします。

ばけら (2012年5月1日 22時56分)

>> HTML5のa要素にはname属性はありません。

>"Obsolete but conforming features"にいちおう含まれているので、「ありません」と言い切るのは微妙な感じがします。

　いろいろな意味で微妙なところですね。

　「HTML5のa要素にはname属性はない」けれども、「a要素にname属性がついていてもいちおう適合はする」というような話ではありますが、この文脈だと確かに「一応適合する」という点を重視したほうが良いかもしれません。

ると (2012年5月3日 22時57分)

「このコードに限定した話」かつ「攻撃さえ防げれば良く、不具合があっても良い」と想定した場合において、

単引用符(およびバックスラッシュ)をエスケープするだけだと、

「" onmouseover="alert(document.cookie)" onmousedown="」

という文字列でダメにならないでしょうか。

コード

出力

previous search word

</a>

ると (2012年5月3日 23時5分)

escape2の結果をescapeに渡すのですね。失礼しました。

新生鳩丸掲示板♯