第1回 Ajaxとクロスサイトスクリプティング|gihyo.jp - 葉っぱ日記JVNの常連である福森さんの記事。 1ページ目の最終段が このように不正なスクリプトを入力されたとしても,それをそのまま出力しないでエスケープ処理を行ってから出力することが,クロスサイトスクリプティング対策になります。で終ってますが、ここで終ってしまうよりは、せっかくAjaxしてるので createTextNode するような安全な実装を示して欲しいなと思いました。(2007/06/28追記。このコードは脆弱です!) if (req.readyState == 4) { var t = document.createTextNode( req.responseText ); document.body.appendChild( t ); // document.write(req.responseText); document.write は使わない } (2007/06/28追記) ↑こ
