へぼへぼCTO日記 - Template::Stash::EscapeHTMLByCase(TTでXSS対策)
TTでのXSS対策としては下記の2つの方法がまずは考えられます。 1. [% data | html %]のようにFILTERをすべての変数出力部分に使う 2. Template::Stash::EscapeHTMLを使って自動的に全ての変数出力をEscapeする 1は毎回"| html"と書くことになるので、間違いが置きやすいので2を使うことが多いのですが システム側からescapeしないで出力したいとか、INCLUDEで変数を渡したいとかいうときに問題がでてしまう。 INCLUDEの話はどういうことかというと たとえば、ヘッダーをheader.ttというファイルにまとめて共有で使っており 渡された変数を用いてタイトルを構成するときなんかがあったとする。 (ちなみにMETAだと変数は渡せない) content.tt [% INCLUDE header.tt title =
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Making Your Testing Life Easier - Modern Perl Programming
