作者: 閑舎
日時: 2003/6/26(15:54)
wtnabe@... (ねこ丸) さん wrote.

>   あえて「出口」という書き方をしてその部分に重点を置いています。というの
> もデータの「入り口」が Web とは限らないからです。ちょっとソースを示す余
> 裕がないのですが、まさにここの ML 連動掲示板のようにメールからのデータを 
> Web に表示する場合が当たりますね。ページ生成の前に問題の起きるコードがブ
> ラウザに渡るかどうかを検証する必要があります。Web サイト間をまたぐスクリ
> プトの起こす問題ではないですが、(Web ページを生成するスクリプトから見て)
> 自分の Web サイトの外から問題のあるコードが混入する、という意味では XSS 
> 脆弱性と言えるのではないかと。

そうですね。「入口」「出口」という言い方があいまいな気がしたので書いたけ
れど、Web ページからとか、Web ページへとか言うと逆に不正確なんですね。説
明しづらいなぁ。要は、Web に出す場合は <, >, & に注意。データを受け取る
なら XSS になるかならないか以前に所定の形式になっているかきちんとチェッ
ク、と言えばいいのかな。どちらにしても利便性より安全性に重点を置く時代、
というところですね。

--
本田博通(閑舎)
テキストとスクリプトの http://rakunet.org/TSNET/