地味に書きためていくWeb開発セキュリティのキホン - f-shin (@fshin2000) の日記XSS対策 インターネットから送られてくる入力値は絶対に信用しない。(post /get に留まらず、URLそのもの、Headerの中身や、画像のexif情報なども!) 情報を出力する時のescapeは、文脈にあわせて変える。htmlに出す場合とJavaScriptに出す場合、CSVに出す場合、JSONに出す場合でescapeの方法が変わる! echoする時は、基本全部にescape。コントローラ側の文脈に依存する「この変数にそもそもescapeは必要か?否か?」に任せると、後で技術的負債化する! そうではなく「ここの出力方法が適切か?」を一目でチェックできるようにすると簡単にチェックできる。あとから数千個、数万個をチェックする人の身になってコードを書く。 外部からの引数で、処理を分岐する場合は、必ず値を比較して想定する文字に一致した時のみ処理するように書く。 絶対に、そのままの値を引き回
