作者: 閑舎
日時: 2003/6/26(12:23)
wtnabe@... (ねこ丸) さん wrote.

>   原則的にはタグなどの「効果」を持つ文字をブラウザに垂れ流さないように処
> 理するという理解でいます。内部の(例えば DB へのアクセスなんかの)ときに
> は「入るデータをきれいにする」ということで対応しますが、XSS の場合は「出
> 口のブラウザに出力するデータをきれいにする」という対応をしなきゃいけない、
> んですよね?(^^;

Web 側から入力されたデータにつき、望まない副作用がないことを十分検証して
からページ生成するようにしておかなくてはならない、ということですね。

--
本田博通(閑舎)
テキストとスクリプトの http://rakunet.org/TSNET/