pikesaku’s blog

個人的な勉強メモです。記載内容について一切の責任は持ちません。

XSS攻撃手法について(作成中)

ポイント

XSS対策はホワイトリスト形式が推奨。パターンマッチで実装するのだろう。大変そう。自由度高めれば処理が複雑化。IEのexpression(式を評価し文字列展開)サポートは困難。

上記よりブラックリスト方式が検討されるが、これも難しい。expressionの文字列を禁止しても、ブラウザが柔軟に解釈するため、一筋縄に行かない。



深いなこの記事。ためになる。
前の記事もみる。
htmlエンコードで対策できないのが以下ケース
・タグ文字の入力を許容している場合(Webメール,ブログなど)
CSS(カスケーディング・スタイルシート)の入力を許容している場合(ブログなど)
IEがサポートしてるexpresion冠すでの対策を困難にさせる。
文字コードを明示していないケースでUTF-7文字コードによるクロスサイト・スクリプティング