[セキュリティ]IE8のXSS対策 - T.Teradaの日記遅ればせながらIE8β2のAnti-XSS機能(の一部)である、XSS FilterとtoStaticHTMLを触ってみました。その感触を少し書いてみます。 XSS Filter 一般論として、XSSの攻撃や対策方法は、パラメータの値がHTMLのどの部分に出力されるかによって異なります。 ① タグの内側(Element Content) 例:<p>ここ</p> ② 通常の属性値内(クォート付き) 例:<input type="text" name="foo" value="ここ"> ③ JavaScriptの文字列リテラル内 例:<script>var x='ここ';</script> ④ URI属性値内 例:<a href="ここ"> 上記以外のパターンもありますが、実際のWebアプリで多く見られるのは上のようなパターンではないかと思います。 ちょっと触ってみた感じでいうと、XSS Fi
![[セキュリティ]IE8のXSS対策 - T.Teradaの日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/d6d18936c3a1cb1e6fbb7eda53f29748ee1c03d9/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F10257846132711010800%2F10257846132711091901%2F1548045344)
