アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
XSS脆弱性防衛策 (スコア:2, 参考になる)
XSS脆弱性防衛策の部分に関して、ちょこっとツッコミ。
エスケープ方法なのですが、この文書では以下を推奨しています。全角で書き替えて引用します。
これから これへ
< <
> >
( (
) )
# #
&
| 慈愛こそ慈愛
Re:XSS脆弱性防衛策 (スコア:0)
Re:XSS脆弱性防衛策 (スコア:1)
必要はありませんが、script kiddyに対する抑止になっているかもしれません。主要な論点としては、XSS攻撃が成立するまでの手段と、成立してからの攻撃続行手段との2段階についてそれぞれ別途考察すると良いかも知れないと云う点でしょうか。
javascriptの起動までは出来たとして、「(」と「)」を使えないとcookieを盗めないようでは門前払いということで。(妄想)
まぁ、XSS攻撃が真に成功する為には事前に完璧な手段で情報収集のための生贄サーバが必要なわけですから、script kiddyには難しいかと。その意味で、わざわざ「(」と「)」をエスケイプする必要はありません、、デスね?踏み台作れるkiddyならば、「(」と「)」は軽~くイテコマスはずです。
|私はチキンなので厨房以前です。
| 慈愛こそ慈愛