ねこ丸です。
閑舎さんはお分かりだと思いますが念のため、
> > 原則的にはタグなどの「効果」を持つ文字をブラウザに垂れ流さないように処
> > 理するという理解でいます。内部の(例えば DB へのアクセスなんかの)ときに
> > は「入るデータをきれいにする」ということで対応しますが、XSS の場合は「出
> > 口のブラウザに出力するデータをきれいにする」という対応をしなきゃいけない、
> > んですよね?(^^;
>
> Web 側から入力されたデータにつき、望まない副作用がないことを十分検証して
> からページ生成するようにしておかなくてはならない、ということですね。
あえて「出口」という書き方をしてその部分に重点を置いています。というの
もデータの「入り口」が Web とは限らないからです。ちょっとソースを示す余
裕がないのですが、まさにここの ML 連動掲示板のようにメールからのデータを
Web に表示する場合が当たりますね。ページ生成の前に問題の起きるコードがブ
ラウザに渡るかどうかを検証する必要があります。Web サイト間をまたぐスクリ
プトの起こす問題ではないですが、(Web ページを生成するスクリプトから見て)
自分の Web サイトの外から問題のあるコードが混入する、という意味では XSS
脆弱性と言えるのではないかと。
# 釈迦に説法な話を書くときは気ぃ使いますねぇ
# ここには普段黙ってる識者が多いから(^^;
--
ねこ丸