ポイント
XSS対策はホワイトリスト形式が推奨。パターンマッチで実装するのだろう。大変そう。自由度高めれば処理が複雑化。IEのexpression(式を評価し文字列展開)サポートは困難。
上記よりブラックリスト方式が検討されるが、これも難しい。expressionの文字列を禁止しても、ブラウザが柔軟に解釈するため、一筋縄に行かない。
深いなこの記事。ためになる。
前の記事もみる。
htmlエンコードで対策できないのが以下ケース
・タグ文字の入力を許容している場合(Webメール,ブログなど)
・CSS(カスケーディング・スタイルシート)の入力を許容している場合(ブログなど)
→IEがサポートしてるexpresion冠すでの対策を困難にさせる。
・文字コードを明示していないケースでUTF-7文字コードによるクロスサイト・スクリプティング
・
