クロスサイトスクリプティング対策
クロスサイトスクリプティングとは
スクリプトタグ等、ユーザが入力した悪意のある値がhtmlに埋め込まれ、
スクリプトが実行されてしまう脆弱性のこと。
対策
- formでユーザが入力した値をhtmlに出力する際は必ずエスケープ処理をかける。
- POSTでパラメータとして受け取った値をhtmlに出力する際は必ずエスケープ処理をかける。
エスケープする文字は、< > " ' &など。
スクリプトタグ等、ユーザが入力した悪意のある値がhtmlに埋め込まれ、
スクリプトが実行されてしまう脆弱性のこと。
エスケープする文字は、< > " ' &など。