「クロスサイトスクリプティング対策の落とし穴」へのツッコミ - 猫と重金属?技術系はじめに クロスサイトスクリプティング対策の落とし穴 この記事を数十人の人がブックマークしていたものの あまりに酷い内容なのでちょっと辛辣なコメントでのブックマークを残してみたのですが、その後もこの記事への(付けられているタグを見る限り肯定的な)ブックマークは止まず。これはちょっとはっきり問題点を指摘した方がいいかな…と思ってこうした記事を書く次第。 ツッコミ開始 典型的な例は,「テキストを出力する前に"<"と">"を取り除く」方法があります。 そんなの「典型的」ではありません。どう考えてもhtmlspecialchars等でエスケープするほうが「典型的」です。変な「典型的」を捏造しないで下さい。 「<」「>」を絶対に使わないような箇所(例えば郵便番号とか)ならば取り除いても良いでしょうが、一般論としては、「<」「>」という文字をプログラマが自分の都合で勝手に取り除く事は許されません。「>
