ネタ::過激な過激なエスケープ失敗
ネタだって?
本稿はネタです。大部分についてまじめに受け取らないでください。もしもチョッピリ考えるべきところがあれば幸いです。
過激なエスケープの限界(笑
安直になんでもかんでも過激なエスケープをしたからといって、これでもう安心だぁ、とかいうXSS対策にならないことが・・・あるのは当然周知の事実だと思います。(何度もいいますがコレはネタです。)
<button onclick="ユーザデータ出力">push</button>
ユーザデータ出力として、
alert(99)
が来ちゃうとヤバイヨ?だったら過激なエスケープすればいいじゃん!・・・ということには、ならないわけで。実際、ちょっとだけエスケープして試してみます。試すまでもないけどネタですから。ユーザデータ出力をエスケープして・・・
alert(99)
としても、やはり期待通りにalert(99)されるわけで。じゃぁもうすこし過激にしたらどうなるん?