XSSを回避しつつ、テンプレートからJavaScriptにJSONで値を渡す方法 - blog.nomadscafe.jp

暮らしカテゴリーの変更を依頼記事元:

blog.nomadscafe.jp

92 usersがブックマークコメント

コメント

6

記事へのコメント6件

注目コメント
新着コメント

freza y

2014/05/09 リンク

hiratara つい最近同じことした記憶があるなあ。確かにparseInt の方がエラーは起きにくいかな。

2011/12/05 リンク

thorikawa String.prototype.unescapeHTMLxの実装など

js
xss

2011/03/29 リンク

efcl HTMLエスケープ、JSエスケープ。

2010/11/18 リンク

hidehish 見てる:

2010/11/18 リンク

kazeburo 不足あれば追記します

2010/11/18 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

XSSを回避しつつ、テンプレートからJavaScriptにJSONで値を渡す方法 - blog.nomadscafe.jp

「HTMLのscriptタグ内にデータを埋め込む際のエスケープ処理モジュール書いた」に引き続いて、XSSを避け... 「HTMLのscriptタグ内にデータを埋め込む際のエスケープ処理モジュール書いた」に引き続いて、XSSを避けつつ複数の値をJSONで渡す方法。答えはmalaさんが書いてますテンプレートエンジンでJSONを生成する(多くの場合間違えるので、推奨しない) scriptタグの中でJSONを使わない可能であればJSONライブラリのオプションで<>/いずれかをエスケープする。生成されたJSON文字列の<>/いずれかを正規表現などを使って置換する。 JSONのvalueに当たる部分には「HTMLエスケープ済みの文字列を入れる」という規約を設けて事前にエスケープする。の3番目以降。ということで実装してみる。目標としてはXslateのfilterとして実装 [% hashref | json %] の様な形をとり、JSONのvalueにあたる部分はすべてHTML Escapeし、HTML中に

ブックマークしたユーザー

side_tana2014/11/12
freza2014/05/09
kiyotakagoto2014/04/28
Craftworks2014/03/30
hiratara2011/12/05
takeodon2011/07/06
thorikawa2011/03/29
teruwyi2011/01/04
ytotoy2010/12/02
oinume2010/12/01
nabetama2010/11/30
mxg2010/11/25
nyamapp2010/11/25
parkbench2010/11/25
charsbar2010/11/24
bigwest2010/11/24
sakenomi2010/11/23
coek2010/11/23

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - 暮らし

いま人気の記事 - 暮らしをもっと読む

新着記事 - 暮らし

新着記事 - 暮らしをもっと読む

設定を変更しましたx