Twitterのクロスサイト・スクリプティング(XSS)対策は変だ Twitterが流行している。私もヘビーユーザとは言えないものの、結構愛用している(http://twitter.com/ockeghem)。このTwitterのXSS対策が変だなと思う事象があったので報告する。 あらかじめお断りしておくが、TwitterにXSS脆弱性がある(実際にはあったようだが)という報告ではなく、対策の方法がおかしいという報告である。 まずは、... 続きを読む
[PR]今話題のハプニングバーを紹介します
コメント
「そもそも、出力時でなければ「エスケープ」と呼ぶことさえ間違いでは。」
殆ど知ってたけど、まとめて見ると多さに驚く
出力直前にエスケープした後、出力文字数分でカットしている可能性は…ないか。
「この方法のメリットはあるだろうか?」負荷軽減では? 巨大なチャットみたいなものだから入力一回につき表示は何千何万回に。/はてなダイアリーもHTMLに変換済みのデータを(も)DBに入れてなかったっけ。/2chのdatも。
ほんとだー。やっぱエスケープをセキュリティ的な対策だと思ってちゃダメよね。
昔はよく見たパターン。入門書でそういうコードも見かける。/ そもそも、出力時でなければ「エスケープ」と呼ぶことさえ間違いでは。出力の場所が決まるまで何がエスケープなのか定まらないのだから。「"」もそのせい
うわっ、これはひどい
Twitterは「<」と「>」はエスケープしてからDBに格納、&'"についてはエスケープしていない(~O~)