XSSに強いウェブサイトを作る – テンプレートエンジンの選定基準とスニペットの生成手法3. 従来のテンプレートエンジン 従来のテンプレート=手動エスケープ <?php echo htmlspecialchars($var) ?> XSSの温床(エスケープ漏れ) 2010年10月26日 XSSに強いウェブサイトを作る - テンプレートエンジンの選定基準とスニペットの生成手法 3 4. 従来のテンプレートエンジン (2) 代替手法=常にエスケープ Smarty の default:modifiers 等 問題:2重にエスケープしてしまう 結局流行らなかった 2010年10月26日 XSSに強いウェブサイトを作る - テンプレートエンジンの選定基準とスニペットの生成手法 4 5. 自動エスケープの登場 基本は常にエスケープ ただし、エスケープ済かどうかを型で判定 $var = '>_<'; <?= $var ?> => >_< 型情報があるから2重
