Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
昨日の Twitter の XSS 騒ぎは、まだ皆さんの記憶に新しいことと思います。いい機会なので、ツイートのような構造化テキストのエスケープ手法について触れておきたいと思います。 Twitter のメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のような URL を自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストを HTML 化する際には、どのようなコードを書けばいいのでしょう? まず「@〜」をリンク化してから、URL をリンク化すればいいのでしょうか? それだと、@〜 のをリンク化した A HREF タグの中の URL がさらにリンク化されていまいますね。 では、URL をリンク化してから @〜 をリンク化すればいいのでしょうか? それだと、@ を含む URL があった場合に
Webの弱点を解消
HTML5にはどんな機能があるのか。いつごろ仕様が決まるのか。そもそもHTML5の実体は何なのか。HTML5開発者コミュニティーの管理人である白石俊平氏に、HTML5の基本を2回に分けて解説してもらう。まずは、HTML5の主要機能を総括する。 HTML5とは、その名の通り「HTML」(ハイパーテキスト・マークアップ・ランゲージ)という技術の最新バージョンだ。HTMLはWebページを作成する際に用いられる仕様であり、「タグ」と呼ばれる特別な記号を文書内に埋め込むことで、文書構造を定義する。 HTMLはW3C(ワールドワイド・ウェブ・コンソーシアム)という標準化団体が仕様の標準化や管理を担っている。 プログラミング言語と統合
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
