_プログラミングではホワイトリスティングが基本ではない 大垣さんのブログにて反論をいただいた。 プログラミングではホワイトリスティングが基本 ホワイトリストはどう作る? 長文のエントリで、「暇な方だけお付き合いください」と書かれている。あいにく締め切りを抱えていて暇ではないのだが、名指しで反論されている以上、放置するのも失礼なので、簡潔にコメントしたい。 私は、一応セキュリティの専門家の端くれのつもりで、XSS Cheat Sheetをはじめ、大垣さんや金床さんの本にも目を通している。しかし、大垣さんの上記2エントリは、私にはさっぱり理解できない。以下、プログラミングの局面で、XSS向けのホワイトリストが作成可能なのかというポイントに絞って議論する。 プログラミングの基本は仕様に忠実であること 大垣さんが具体的な「ホワイトリストの作り方」を提示してくれないので、どのようなホワイトリストをイ