PHPで作成されたページで、XSS対策としてhtmlspecialcharsによるエスケープ処理はおこなったのですが、脆弱性チェックのソフトにかけたところ、それだけだとjavascript:alert()のようなケースに対応できてないようで、少し悩んでいます。
例えばチェックの結果、以下のような部分で警告が出てきます。
<a href="xxxx.php?sid=javascript:alert(1);&year=2019&mon=4">みなさまはどのように処理をされているのでしょうか?
ひとつひとつのパラメータに対して正規表現などで細かくチェックをしていくしかないでしょうか。
何か定番的な解決方法があるのであればご教示いただければと思っております。
よろしくお願いいたします。
回答2件
あなたの回答
tips
プレビュー