Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
[B! ajax] PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem's blog
[go: Go Back, main page]

記事へのコメント34

  • 注目コメント
  • 新着コメント
オーナーコメントを固定しています
ockeghem
オーナー 日記書いた

その他
MinazukiBakera
セキュリティよりHTMLのほうが気になってしまいます。タイトルに「イマドキのWebサイト」とあるのですが、<td align='right'> とかイマドキあるんでしょうか。

その他
HolyGrail
これよりはいい本書く自信はさすがにありますね。出版社さんお待ちしております!

その他
hasegawayosuke
「HTML5で作るイマドキ」と言いながら<table border='1'><td align='right'>はないわ…。XSSの話は2,3回目を読んでから。 // なるほど、この著者の他の著作のレビュー : http://amzn.to/qKUhSZ

その他
fukken
jQueryのtext()メソッドのような、エスケープを自動で処理してくれる機能を極力使う、かな。SQLインジェクション対策における静的プレースホルダとちょっと発想が似ている

その他
takeodon
徳丸さんの本読んだので、この例のようなマズさは一目でわかります

その他
escape_artist
初心者向けでなくなるかもですが、テンプレートエンジンを使うのが一番いいと思います。jQuery Templates(http://api.jquery.com/category/plugins/templates/)とか拙作のT.js(http://blog.tojiru.net/article/210961468.html)とか!(宣伝)

その他
lanius
jQueryのtextメソッドでエスケープ。

その他
オーナーコメントを固定しています
ockeghem
オーナー ockeghem 日記書いた

2011/09/05 リンク

その他
Kmusiclife
セキュリティを毎回毎回考えて作るとかなりの時間コストかかるから、仕組みを知って実際に作ってみて理解して、それからフレームワークを使うのがベスト。

その他
n-sega
徳丸本を購入しようか真剣に悩むほどの勉強になるエントリ。

その他
KenichiroMurata
非常に分かりやすいです。 PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem(徳丸浩)の日記

その他
katzchang
「そこで、議論のきっかけとして、本書のAjaxを用いたアプリケーションのXSSと対策案を紹介したいと思います」

その他
t-wada
徳丸さんの一連のエントリが出たことが、件のイタい入門書の隠れた功績なのかもしれない(全然弁護にならんけど)。まずは XSS 基本編。

その他
deep_one
「流用してきたソースコードが痛々しい」のはその本が著作権的に問題があるってことなんじゃないのか?

その他
rightgo09
なんかもう全体的にイマドキではなかった。

その他
co3k
読み返してて気がついたけど「Xmasパーティ予約情報参照」画面でなぜ「ブックID」が……? / 「予約する」というニュアンスではないかということで理解 → https://twitter.com/ockeghem/status/110975148852645889

その他
juner
メモ:PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem(徳丸浩)の日記

その他
tiadeen2
jQueryのhtmlメソッドはエスケープされないのでXSSになる可能性がある。jQueryのtextメソッドを使うといい。「HTMLエスケープをどこで行うか」は関連ブログをあとで読む

その他
premyth
セキュリティ一切考慮しない、ソースの品質が低くdebugしないと動かないのがイマドキのWebサイト。ということでいいじゃない

その他
tmatsuu
あと2回吊るす

その他
griefworker
AjaxでのXSS対策。

その他
takeodon
takeodon 徳丸さんの本読んだので、この例のようなマズさは一目でわかります

2011/09/05 リンク

その他
HolyGrail
HolyGrail これよりはいい本書く自信はさすがにありますね。出版社さんお待ちしております!

2011/09/05 リンク

その他
Akaza
jQueryのtextメソッドは、HTMLタグ文字列を渡してもタグが生成されないので、XSSが生じない。対してhtmlメソッドはタグ生成を行うのでリスクがある。

その他
ja9
後で読む

その他
hamichamp
わかりやすい。

その他
escape_artist
escape_artist 初心者向けでなくなるかもですが、テンプレートエンジンを使うのが一番いいと思います。jQuery Templates(http://api.jquery.com/category/plugins/templates/)とか拙作のT.js(http://blog.tojiru.net/article/210961468.html)とか!(宣伝)

2011/09/05 リンク

その他
asari3
jQuery(html_tag).text(raw_text) で HTML に対してエスケープする。

その他
warriorking
PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem(徳丸浩)の日記

その他
lanius
lanius jQueryのtextメソッドでエスケープ。

2011/09/05 リンク

その他
tkawa
興味深い話題

その他
kairi-m
ふむ。

その他
riywo
wktk!

その他
kits
「表示の直前にエスケープするという原則」 / http://api.jquery.com/jQuery/#jQuery2 によると、単体の要素を作る時は $("<div/>") or $("<div></div>") のように指定するとの説明あり。

その他
longroof
PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem(徳丸浩)の日記

その他
TaKUMA
"原則論から言えば、サーバーから生データを送るのが正しいように思います。"/なるほど

その他
MinazukiBakera
MinazukiBakera セキュリティよりHTMLのほうが気になってしまいます。タイトルに「イマドキのWebサイト」とあるのですが、<td align='right'> とかイマドキあるんでしょうか。

2011/09/05 リンク

その他
fukken
fukken jQueryのtext()メソッドのような、エスケープを自動で処理してくれる機能を極力使う、かな。SQLインジェクション対策における静的プレースホルダとちょっと発想が似ている

2011/09/05 リンク

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem's blog

このエントリでは、あるPHPの入門書を題材として、Ajaxアプリケーションの脆弱性について検討します。全...

ブックマークしたユーザー

すべてのユーザーの
詳細を表示します

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - 暮らし

いま人気の記事 - 暮らしをもっと読む

新着記事 - 暮らし

新着記事 - 暮らしをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2025 Hatena. All Rights Reserved.