PHPerだからJS詳しくないんだけど、PHPで何のチェックもせずにeval($_POST['data'])とかunserialize($_POST['data'])とかやってるイメージ？ただのライブラリなら担当外で、クライアントデータをparseするコードの責任じゃないのかな。

n314 のブックマーク 2019/09/11 18:59

<blockquote class="hatena-bookmark-comment"><a class="comment-info" href="https://b.hatena.ne.jp/entry/4674155810737114786/comment/n314" data-user-id="n314" data-entry-url="https://b.hatena.ne.jp/entry/s/qiita.com/shellyln/items/af200a1953991de1698d" data-original-href="https://qiita.com/shellyln/items/af200a1953991de1698d" data-entry-favicon="https://cdn-ak2.favicon.st-hatena.com/64?url=https%3A%2F%2Fqiita.com%2Fshellyln%2Fitems%2Faf200a1953991de1698d" data-user-icon="/users/n314/profile.png">JavaScriptのプロトタイプ汚染攻撃対策は難しい - Qiita</a><br><p style="clear: left">PHPerだからJS詳しくないんだけど、PHPで何のチェックもせずにeval($_POST['data'])とかunserialize($_POST['data'])とかやってるイメージ？ただのライブラリなら担当外で、クライアントデータをparseするコードの責任じゃないのかな。</p><a class="datetime" href="https://b.hatena.ne.jp/n314/20190911#bookmark-4674155810737114786"><span class="datetime-body">2019/09/11 18:59</span></a></blockquote><script src="https://b.st-hatena.com/js/comment-widget.js" charset="utf-8" async></script>

このブックマークにはスターがありません。
最初のスターをつけてみよう！

JavaScriptのプロトタイプ汚染攻撃対策は難しい - Qiita

qiita.com/shellyln2019/09/09

先日、私のプロジェクトで脆弱性関連のissueが投稿されたので対策を行いました。指摘内容は主に「プロトタイプ汚染攻撃」でした。自分では対策を行っていたつもりだったのですが、様々な穴がありました。プロト...

39 人がブックマーク・4 件のコメント

他のコメントを読む

＼コメントがサクサク読めるアプリです／

はてなブックマーク

JavaScriptのプロトタイプ汚染攻撃対策は難しい - Qiita

はてなブックマーク

公式Twitter

はてなのサービス