XSS: 今こそXSS対策についてまとめよう - 徳丸浩の日記(2008-08-22)

_今こそXSS対策についてまとめよう 沢出水（さわ いずみ）さんからトラックバックを頂戴した。 元々はホワイトリスト方式の優位は神話というエントリでホワイトリストはどう作る?を引用(批判)した事が発端の模様です。 一見真っ向対決しているようなので興味深く読ませていただいたのですが、正直、両者の主張の違いがわかりません。 どちらもXSS等インジェクション系の対策としてはアプリケーションで入力値が正しい形式の範囲内かチェックし、出力時に必要なエスケープ処理を行う、という結論に思えるんですけど… [ホワイトリストとブラックリストより引用] ご指摘の通りで、XSS対策は入り口でのバリデーションと表示(HTML組み立て)時のエスケープだ。しかし、元ブログの主題はホワイトリストとブラックリストの比較なので、「ただ、表面的に文章を追っただけでは『何をホワイトリストと呼ぶのか』という部分がだいぶ違う印象を

[kato_pe62]

XSS対策まとめ

[raimon49]

＞原理から正しく学ぶということは、HTMLなりJavaScriptの文法をしっかり学ぶことでもある。

[n2s]

「基本はバリデーション+エスケープ」「入力値チェックはアプリケーションの仕様に従う」

[cubed-l]

とても正しい。「HTMLなりJavaScriptの文法をしっかり学ぶこと」正しくHTMLやJavaScriptを出力できていればそれが自ずと対策になる

[hasegawayosuke]

GJ 「原理から正しく学ぶ」これ大事。