作者: Zazel
日時: 2006/6/05(22:53)
Zazelです。

=== "Bruce." <kbk@...> さんが書かれた
=== <4482FD90.3080500@...> にて
> >  XSS脆弱性について書いてあるCGIの本って推薦するものってありますか。
...
> この方面は Zazelさんが詳しいとにらんでるんですがどうでしょう?

私はXSSに詳しいわけないですよ。本も持ってないし。

とこれだけでは何ですので、この手の脆弱性に対して私がどう対処して
いるかといえば…。

入力を厳密にチェック。その上でHTMLを出力する場合は、リテラル等で
タグを書く以外は代替文字化する関数を必ず通す。例えタグが含まれて
いないと明らかな時でも、後の仕様変更で紛れてくるかもしれないので。
SQLならばDBI::quote() を通す。

普通でしょ。(^_^)

あと昔はopen() ではなくてsysopen() を使ったりしてました。

(* SEKI Masatoshi  //  Zazel                      *)
(*  Would you hold my hand? Softly, let's linger. *)