Q&A
前提や背景が全く不明です。
ある開発のテストで「"'</html>"'<script>"」を入力、サブミットし、確認画面でエスケープされているか確認する。という内容があるのですが、確認画面で「"'</html>"'<script>"」がそのまま出力されているすなわち、エスケープされているとう認識でしょうか。
他に受け取りようのない話はそこまで邪険にしなくても大丈夫です。
ようは入力した文字列を「文字参照に変換」(←エスケープと呼ぶ場合がある)しないでHTMLとしてそのまま表示させるような処理をする横着者がいないかどうかを確認せよということです。任意のHTMLが書き込めると最悪<script>からいたずらされる場合があるので。
詳細はmomon-gaさんのリンク先がいいですね。
回答2件
0
テスト項目作成者に確認取るのが一番確実ですが、
エコーバック対策なら、こちら(IPA セキュアプログラミング講座 (旧)Webアプリケーション編)が、詳しいです。
テスト項目作成者に確認
エスケープ対象の文字は何で、どのようにエスケープするのか、入力直後にエスケープして無害化するのか、
出力のタイミングでエスケープするのか質問の内容だけでは判断できません。
エスケープって何するの?が、わかればご自身で判断できると思いますが、
わからないならテスト項目作成者に確認するべきかと思います
投稿2020/08/11 16:57
編集2020/08/12 01:53
総合スコア4820
0
単に見た目がそうであれば良しではなく、確認画面がブラウザならデベロッパーズツールでソースをみてタグなどがエスケープされていることを確認する必要があると思います。
投稿2020/08/11 16:53
総合スコア1088
あなたの回答
tips
プレビュー
