構造化テキストの間違ったエスケープ手法について : 404 Blog Not Found

2010年09月22日21:30 カテゴリLightweight Languages 構造化テキストの間違ったエスケープ手法について 昨晩のtwitter XSS祭りは、ふだんもtwitter.comは使わない私には遠くの祭り囃子だったのですが、せっかくの自戒の機会なので。 Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について 正しいアプローチは、全てのルールを同時に適用することです。 これは残念ながら(おそらく)必要条件であっても十分条件ではありません。 こういう(かなりええかげんな)正規表現でtweetをparseしていたとします。 re_http = '(?:https?://[\\x21-\\x7e]+)'; re_user = '(?:[@][0-9A-Za-z_]{1,15})'; re_hash

[nyamadandan]

JavaScriptでTwitterテキストをエスケープ．

[hisasann]

自動リンク

[monjudoh]

id:zorio HTMLを作るのは本質的にテキスト処理ではない。DOMツリーというデータ構造をシリアライズしたのがHTMLなので、テキスト処理でやっているものは全て簡易版に過ぎないというのを忘れてはいけない。

[yuichiro0526]

[]

[Kmusiclife]

身が引き締まります。かなり”ええかげん”なもの書いてる自分がいるます。

[attoku]

小飼弾△

[Arison]

このエスケープ問題からエスケープしたい。

[zorio]

単なる文字列処理なのに、DOMを使うという実行環境依存の解決方法なのがどうかと。

[y-kawaz]

そもそも構造化データをテキスト置換でどうにかしようと考えてる時点で間違い。普通に文脈理解して構造化データにデコードしてからテキストに再エンコードするのが正しい。／案の定考慮漏れ訂正とかしてるし…

[kazuhooku]

「"」を「"」に変換しないエスケープ関数があるとしたら、それはその関数のバグだと思う

[lieutar]

確蟹

[osktaka]

正しいアプローチその二は、いったんきちんと構造を作る

[hiroshi_revolution]

#followdaibosyu 404 Blog Not Found:構造化テキストの間違ったエスケープ手法について - 昨晩のtwitter XSS祭りは、ふだんもtwitter.comは使わない私には遠くの祭り囃子

[mrgoofy33]

せっかくの機会だし、しっかりと理解しておこうっと。 404 Blog Not Found 構造化テキストの間違ったエスケープ手法について

[authority-site]

404 Blog Not Found:構造化テキストの間違ったエスケープ手法について

[todesking]

<marquee>hoge とか入れたら素通しされた……

[kkeisuke]

XSS

[nekogaegaku]

『正しいアプローチその二は、いったんきちんと構造を作る』＜元記事の「構造化テキスト」という言葉への違和感はこれか！

[Donca]

✔ 構造化テキストの間違ったエスケープ手法について

[dankogai]

半意図だけどやはり対策した>id:nanto_vi id:todesking