匿名 #2703(2007/08/30 23:44 GMT) Rating-1/1=-1.00
タグを無効化するために「<」のサニタイズするのなら 「;」も対象にしたほうが良い予感?
2 replies [ reply ]
にしお #2709(2007/08/31 03:01 GMT) Rating0/0=0.00
それはなぜですか?
1 reply [ reply ]
匿名 #2714(2007/08/31 03:40 GMT) Rating-1/1=-1.00
エンティティの無効化です。 このお題で必要かと問われると怪しいですけど、 きっとタグが有効になると何か影響でちゃうのですよね? タグが特別なものであるとしてとらえると タグを無効化する必要のある処理であるならば エンティティも一緒に無効化しても良いかなと。 個人的な好みが強いですが片手落ちというイメージが。。。
にしお #2745(2007/08/31 09:54 GMT) Rating0/0=0.00
なるほど。エンティティや実体参照を許すとどういう脆弱性につながるのかは寡聞にして知りませんが、セミコロンをエスケープしても要件を満たしていそうなので気になるのならそうしてもいいと思います。
ちなみに♥のセミコロンを&semicolon;に置き換えてもハートマークは表示されるみたいですね。
このサイトはセミコロンをエスケープしていませんが、アンパサンドはエスケープしています。
匿名 #2748(2007/08/31 10:06 GMT) Rating0/0=0.00
きゅ~勘違いしてました。 「;」のエンティティって存在しないみたいです。 「&」で十分です。 昔、エンティティを無効にするときは「;」というのを読んだ気がしたんだけど、うーんソースが見つからない。 なんでエンティティを無効にしないといけなかったんだっけな~? 何か理由があったはずなんだけど。
[ reply ]
匿名 #2713(2007/08/31 03:40 GMT) Rating1/1=1.00
匿名
#2703()
Rating-1/1=-1.00
2 replies [ reply ]