エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
地味に書きためていくWeb開発セキュリティのキホン - f-shin (@fshin2000) の日記
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
地味に書きためていくWeb開発セキュリティのキホン - f-shin (@fshin2000) の日記
XSS対策 インターネットから送られてくる入力値は絶対に信用しない。(post /get に留まらず、URLそのも... XSS対策 インターネットから送られてくる入力値は絶対に信用しない。(post /get に留まらず、URLそのもの、Headerの中身や、画像のexif情報なども!) 情報を出力する時のescapeは、文脈にあわせて変える。htmlに出す場合とJavaScriptに出す場合、CSVに出す場合、JSONに出す場合でescapeの方法が変わる! echoする時は、基本全部にescape。コントローラ側の文脈に依存する「この変数にそもそもescapeは必要か?否か?」に任せると、後で技術的負債化する! そうではなく「ここの出力方法が適切か?」を一目でチェックできるようにすると簡単にチェックできる。あとから数千個、数万個をチェックする人の身になってコードを書く。 外部からの引数で、処理を分岐する場合は、必ず値を比較して想定する文字に一致した時のみ処理するように書く。 絶対に、そのままの値を引き回