アカウント名:
パスワード:
・JavaScriptの知識が必要 ・SSLの知識が必要 当然そう思いますが、それってHTMLじゃないような...
HTMLタグが書ける掲示板が例に挙がってましたが、そんなシステムの方が少数派かなと思います。勿論、掲示板システムを作るのであれば、HTMLに詳しく無いといけないとは思いますけど。 が、それをもって「HTMLを知らないとセキュアなWebシステムが作れない」とするのは乱暴な気がします。それは「Webシステムを作る為には対象の業務知識が必要」という事とほぼ同義で、その「業務知識」が掲示板システムにおいては「HTMLタグ」でしたという話かなと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
大袈裟に書いてあるけど (スコア:0)
『システム会社は「HTMLの知識が9年前のまま」』で必要充分だと思うんですが...
Re:大袈裟に書いてあるけど (スコア:1)
Re:大袈裟に書いてあるけど (スコア:0)
・JavaScriptの知識が必要
・SSLの知識が必要
当然そう思いますが、それってHTMLじゃないような...
HTMLタグが書ける掲示板が例に挙がってましたが、そんなシステムの方が少数派かなと思います。勿論、掲示板システムを作るのであれば、HTMLに詳しく無いといけないとは思いますけど。
が、それをもって「HTMLを知らないとセキュアなWebシステムが作れない」とするのは乱暴な気がします。それは「Webシステムを作る為には対象の業務知識が必要」という事とほぼ同義で、その「業務知識」が掲示板システムにおいては「HTMLタグ」でしたという話かなと思います。
Re:大袈裟に書いてあるけど (スコア:5, 参考になる)
・SCRIPT要素は書けない。
・A要素のHREF属性に、javascriptスキームの値は書けない(というかscriptという文字列を含む値が書けない)。
という実装仕様だったけど、実装者は数値文字参照のことを知らなかった(HTMLの仕様を知らなかった)。そのため、
<a href="javascript:alert('XSS');">click me</a>
はフィルタを貫通して書き込めた。その後、数値文字参照については対応されたようだが、実
Re:大袈裟に書いてあるけど (スコア:1)
一つ目の貫通した例は、
<a href="javascrip&#116;:alert('XSS')>click me</a>
です。
# 蛇足ながら、つまりslashcodeは数値文字参照の最後のセミコロンが省略できることを知らない(あるいは、省略したものは数値文字参照として扱われない)ということなのだな、と……。