JavaScriptでセキュアなコーディングをするために気をつけること – cybozu developer network

（著者：サイボウズ kintone開発チーム 天野 祐介） kintoneはJavaScriptを使って自由にカスタマイズすることができます。 カスタマイズにより独自のリッチなUIを構築したり、新しい機能を追加したりできるようになりますが、セキュアなコーディングをしないとクロスサイトスクリプティング脆弱性を作り込んでしまう危険性があります。 この記事では、JavaScriptでセキュアなコーディングをするための基本的な点を解説します。 主な原因 脆弱性を作り込む主な原因になるコードは、要素の動的な生成です。特に、レコード情報などのユーザーが入力した値を使って要素を生成するときに脆弱性が発生しやすくなります。 対策 document.write()やelement.innerHTMLを使って要素を生成するときは、コンテンツとなる文字列をかならずHTMLエスケープするようにしましょう。 以下は

[hasegawayosuke]

簡潔にまとまってていいですね。大きな抜けとしては href に javascript スキームとか。

[teramako]

CSPの検討とかしないのかなと思ったけど、コーディングの話だからレイヤーが違った

[hapilaki]

escapeHtmlのところ、私は元からあった&が変換されても元に戻るようにしてますね replace(/&/g,'&');

[abababababababa]

(わかりやすかったです！)

[n314]

createTextNodeすれば良いという話じゃないのかな。

[prettyelmo]

JavaScriptでセキュアなコーディングをするために気をつけること – http://t.co/OEvQ2ginbi developer network /

[asuka0801]

escapeHtmlはreplace連続で使いまわすようにした方がパフォーマンス良かった気がする

[warriorking]

JavaScriptでセキュアなコーディングをするために気をつけること – http://t.co/B4d5YsELOK developer network

[t-wada]

JavaScript でセキュアなコーディングをするための基本。とてもいい。

[nilab]

JavaScriptでセキュアなコーディングをするために気をつけること – cybozu.com developer network

[nemoba]

createTextNodeが出ずにHTMLエスケープなんて出るのがクラクラする

[haniworks]

“encodeURIComponent”

[kasumani]

JavaScriptでセキュアなコーディングをするために気をつけること カスタマイズにより独自のリッチなUIを構築したり、新しい機能を追加したりできるようになりますが、セキュアなコーディングをしないとクロスサイトスク

[kkeisuke]

セキュリティ

[koizuss]

/JavaScriptでセキュアなコーディングをするために気をつけること – http://t.co/ukKWUGO3CF developer network

[poppun1940]

（著者：サイボウズ kintone開発チーム 天野 祐介） kintoneはJavaScriptを使って自由にカスタマイズすることができます。 カスタマイズにより独自のリッチなUIを構築したり、新しい機能を追加したりできるようになりますが、

[Marin_MTB]

参考。

[efcl]

JavaScriptで脆弱性を作り出しやすい所について

[s-inagawa152]

明日の勉強会のためにちょっとチェックしとこ

[yodatake]

あとでよむ

[norisu0313]

JavaScriptでセキュアなコーディングをするために気をつけること

[hondamarlboro]

なるほど。XMLHttpRequestはFirefox廃止予定なの。。。ローカルストレージの使い方も注意かぁ。はずした方がいいのかな。

[ama-ch]

JSでセキュアなコードを書くための基礎を解説させていただきました！