CodeIgniter の XSS 対策はどうあるべきか? では、ビューでの変数をデフォルトで HTML エスケープするという実装案を示しましたが、それだけで XSS 対策が完了するわけではありません。 今回は、現状の CodeIgniter でどのような XSS 対策をすればいいかについて考えてみます。なお、実際のサイトでは、入力値のバリデーションも必須ですが、ここでは割愛してます。 なお、CodeIgniter 標準の XSS フィルタに対する私の考えは、CodeIgniter ユーザが CodeIgniter の XSS フィルタについて知るべき 5つのこと に記載しています。 XSS 対策として以下のすべてを実施します。 CodeIgniter の文字エンコーディングは UTF-8 にする HTTP レスポンスヘッダの文字エンコーディングを正しく指定する HTML の属性値はすべて