なんだか、ずっとflashでしかUI作ってことが無かったからか、
当たり前の言葉を知らないっぽい。。。
クロスサイトスクリプティングがXSS。
例えば、freeMarkerで
<html>
<head/>
<body>${inputValue}</body>
</html>
inputValueはUIからの入力値。
inputValueに
<a http://xxxxxxxxx.html>リンク</a>
とか入れると
意図的にリンクを貼り付けて出力できてしまう。
これは別に無害な例だけど、
もっと考えれば色々と
悪いことも意図的に出来てしまう。
SQLインジェクションについては知ってたけど、
XSSは知らなかった。
初心者丸出し。
やばい。
何かあってから知りませんでしたは、ね。。。
ちゃんと対策をしましょう。
サニタイジング。
当たり前の言葉を知らないっぽい。。。
クロスサイトスクリプティングがXSS。
例えば、freeMarkerで
<html>
<head/>
<body>${inputValue}</body>
</html>
inputValueはUIからの入力値。
inputValueに
<a http://xxxxxxxxx.html>リンク</a>
とか入れると
意図的にリンクを貼り付けて出力できてしまう。
これは別に無害な例だけど、
もっと考えれば色々と
悪いことも意図的に出来てしまう。
SQLインジェクションについては知ってたけど、
XSSは知らなかった。
初心者丸出し。
やばい。
何かあってから知りませんでしたは、ね。。。
ちゃんと対策をしましょう。
サニタイジング。