no title

テーマ:

久々に横ノリ系。
たまにはいいね。

Nobody’s Coming to Save You/Sunshine Underground


少し考えていたのだけれど、XSS対策とかでよく言われるホワイトリスト対策ってのはどうやるんだろうね。ググるとXSS対策はホワイトリストチェック+エスケープって異口同音にいわれているけども。

例えば入力内容として数値しか許可しないような入力フォームがあったとしよう。
それなら簡単なんだろうか?[0-9]+みたいな正規表現でチェックするとか?
でもよくあるnull文字とか改行コードとか入ったらどうなるんだろう、とか。
ホワイトリストが明確な場合でも、入力がそれに一致しているかどうかって判断は結構ややこしいと思うんだよね。

ならもう自由入力なとことかどうすんだろう。
てかまずその入力をhtmlとしてちゃんと解釈するところから?
数値文字参照とか。
って考えると、そもそもブラウザはどういう風にhtmlをパースしてレンダリングしているんだろう。
なんか果てしない話になってきたがでも気になる。
そのうちソースを読みたい。
AD