マルチバイト文字の先行文字埋め込みによるXSSへの保険的対策について


マルチバイト文字列の先行文字列埋め込みによる攻撃については、長谷川さんによる、http://gihyo.jp/admin/serial/01/charcode/0006
を参照いただくこととして、この記事に書かれていない、とりあえずの間に合わせ的な保険的対策について書いてみたいと思います。
なお、攻撃を「完全に防止できる」ということは証明できませんが、十分に難易度を高めることが可能であると思います。

処置は簡単です。「=」を、数値文字参照化してHTMLに出力するというものです。これにより、onイベント属性の追加が困難になることでしょう。HTMLの各属性をダブルクォート(など)で囲むことを徹底しておくほうがよいことはもちろんですが、時間がかかる場合にはとりあえず、この保険的対策をほどこしてからじっくりと腰を落として本来行うべき対策を行うとよいかもしれません。

※この手法はXSSが有名になりはじめたころから考えてはいたのですが、完璧ではないため、今日はじめて口外しました。

常温核融合への理解を勧めるPDF文書

実はエネルギー問題というよりも、貴重元素の生産のほうに本来の使用目的が出てくるはずと睨んでいます。レアメタルや肥料用途の各種元素など。そういった視点は今はまだ時期が早すぎるのでしょうけれどね。 脱炭素革命だけでは未来はないはずなのですが、あまり人類は考えたくないのでしょう。

邪馬台国の「邪馬台」の語源を考える

疑問

「邪馬台」と言えばその意味は「ヤマト」のこと、と考えることが多いことと見受けられます。字を当てれば「大和」であったり「山門」であったり「山処」であったりといろいろです。ですが、どの説にも個人的にはどうも迫力を感じませんでした。およそ弥生時代末期の日本=倭国を代表する国家である邪馬台国、長い間の内乱を収束させ女王卑弥呼による比較的広域的な統一・平和を構築した邪馬台国が、自分の国の名前をつける時に、山のところにあるから「山処」でいいじゃん、みたいな名前をつけるのでしょうか? ひょっとしたら何かしら美称ではなかったかと思うのです。現代では忘れられた美称を考えることはできないものでしょうか。

現代に残る遺称「ヤボサ」「ヤブサ」と弥生時代の「邪馬台」

魏志倭人伝に記される「邪馬台」は恐らく朝鮮系の通訳者が発音したものを中国側で採録したものでしょうから、倭人の言語でどのように発音したものであるかについて考察する上では、ある程度の発音の揺らぎを考えても良いでしょう。日本の言語の発音の歴史的変化を見据えた上で、私は、現代に残っている「ヤボサ」「ヤブサ」という聖地を意味する語彙が、弥生時代にさかのぼった時に、倭人伝で「邪馬台」と記されたものと考えるに至りました。
(編集中)