作者: ねこ丸
日時: 2003/6/26(14:22)
  ねこ丸です。

  閑舎さんはお分かりだと思いますが念のため、

> >   原則的にはタグなどの「効果」を持つ文字をブラウザに垂れ流さないように処
> > 理するという理解でいます。内部の(例えば DB へのアクセスなんかの)ときに
> > は「入るデータをきれいにする」ということで対応しますが、XSS の場合は「出
> > 口のブラウザに出力するデータをきれいにする」という対応をしなきゃいけない、
> > んですよね?(^^;
> 
> Web 側から入力されたデータにつき、望まない副作用がないことを十分検証して
> からページ生成するようにしておかなくてはならない、ということですね。

  あえて「出口」という書き方をしてその部分に重点を置いています。というの
もデータの「入り口」が Web とは限らないからです。ちょっとソースを示す余
裕がないのですが、まさにここの ML 連動掲示板のようにメールからのデータを 
Web に表示する場合が当たりますね。ページ生成の前に問題の起きるコードがブ
ラウザに渡るかどうかを検証する必要があります。Web サイト間をまたぐスクリ
プトの起こす問題ではないですが、(Web ページを生成するスクリプトから見て)
自分の Web サイトの外から問題のあるコードが混入する、という意味では XSS 
脆弱性と言えるのではないかと。

# 釈迦に説法な話を書くときは気ぃ使いますねぇ
# ここには普段黙ってる識者が多いから(^^;

--
    ねこ丸