こわやこわや
かなり減ったよ
*15の例って自力でサニタイザを実装することの問題点というよりサニタイザの処理の順番の問題ではないでしょうか。他人が作った「正しい」サニタイザを使っても回避できないのでは?
XSSが怖いんじゃなくてXSSが見つかることで召喚されるあの辺が怖いという話なのかと思った
保守契約で前業者のコード引き継いできた時の衝撃を知らんな?去年作ったはずなのに20年前のようなベタな JavaScriptと生のPHP見た時の絶望感と「なぜこれでXSSも SQL/スクリプトインジェクションが起きない?」という疑問を
20年以上経ってもXSS対策は地道にやるしかないのね……
タイトルにおっちゃん臭がw Still S.R.E. とかそのうち出そうw
なんかありそうなんだけど、申し訳なくもタイトルの元ネタが分からない...
"EJS記法の<%=(HTMLエスケープあり)と<%-(HTMLエスケープなし)のように視認性が低いパターン"
https://www.youtube.com/watch?v=_CL6n0FJZpk
Still X.S.S. - なぜいまだにXSSは生まれてしまうのか? - GMO Flatt Security Blog
こわやこわや
かなり減ったよ
*15の例って自力でサニタイザを実装することの問題点というよりサニタイザの処理の順番の問題ではないでしょうか。他人が作った「正しい」サニタイザを使っても回避できないのでは?
XSSが怖いんじゃなくてXSSが見つかることで召喚されるあの辺が怖いという話なのかと思った
保守契約で前業者のコード引き継いできた時の衝撃を知らんな?去年作ったはずなのに20年前のようなベタな JavaScriptと生のPHP見た時の絶望感と「なぜこれでXSSも SQL/スクリプトインジェクションが起きない?」という疑問を
20年以上経ってもXSS対策は地道にやるしかないのね……
タイトルにおっちゃん臭がw Still S.R.E. とかそのうち出そうw
なんかありそうなんだけど、申し訳なくもタイトルの元ネタが分からない...
"EJS記法の<%=(HTMLエスケープあり)と<%-(HTMLエスケープなし)のように視認性が低いパターン"
https://www.youtube.com/watch?v=_CL6n0FJZpk