シングルクォートもサボんないでちゃんとエスケープしようぜ、というお話やね。つーか htmlspecialchars() の第二引数は ENT_QUOTES をデフォルトにして欲しい

ww_zero のブックマーク 2016/04/14 19:17

<blockquote class="hatena-bookmark-comment"><a class="comment-info" href="https://b.hatena.ne.jp/entry/285119114/comment/ww_zero" data-user-id="ww_zero" data-entry-url="https://b.hatena.ne.jp/entry/s/blog.tokumaru.org/2016/04/hiddeninputxssjavascript.html" data-original-href="https://blog.tokumaru.org/2016/04/hiddeninputxssjavascript.html" data-entry-favicon="https://cdn-ak2.favicon.st-hatena.com/64?url=https%3A%2F%2Fblog.tokumaru.org%2F2016%2F04%2Fhiddeninputxssjavascript.html" data-user-icon="/users/ww_zero/profile.png">hiddenなinput要素のXSSでJavaScript実行</a><br><p style="clear: left">シングルクォートもサボんないでちゃんとエスケープしようぜ、というお話やね。つーか htmlspecialchars() の第二引数は ENT_QUOTES をデフォルトにして欲しい</p><a class="datetime" href="https://b.hatena.ne.jp/ww_zero/20160414#bookmark-285119114"><span class="datetime-body">2016/04/14 19:17</span></a></blockquote><script src="https://b.st-hatena.com/js/comment-widget.js" charset="utf-8" async></script>

このブックマークにはスターがありません。
最初のスターをつけてみよう！

hiddenなinput要素のXSSでJavaScript実行

blog.tokumaru.org2016/04/14

脆弱性診断をやっていると、たまにtype=hiddenのinput要素にXSSがあるけど、現実的な攻撃には至らないものにぶちあたることがあります。サンプルコードを以下に示します。 <body> 入力確認をお願いします。 <?php...

136 人がブックマーク・9 件のコメント

他のコメントを読む

＼コメントがサクサク読めるアプリです／

はてなブックマーク

hiddenなinput要素のXSSでJavaScript実行

はてなブックマーク

公式Twitter

はてなのサービス