XSSの対策での「&」エスケープの意味が理解できていません。

クロスサイトスクリプティングの対策として、特殊文字（<>,',",&）をエスケープすると思うのですが、「&」をエスケープする理由が分かりません。ご教授いただけないでしょうか。
',"は属性値を意図しない終端にさせないと認識しています。
<>は、スクリプトタグを無効にすると認識しています。

行動規範の内容に同意します

回答2件

ベストアンサー

エスケープ処理の本来の意味を考えた方が良いです。

文字列が異なるルールで処理されるシステム間を連結する場合に、エスケープ処理は必要になります。
つまり、「渡された側の処理として特殊な意味を持つ文字列を無効化(エスケープ)する」という事です。

html の表現において、「&」は「特殊文字列を表す」という特殊な意味を持ちます。

本質問の状況では「特別な意味を持つ文字列を適切に処理(エスケープした結果) XSS を排除できる」と考えるのが適切です。
雑な言い方をしてしまうと、エスケープ処理の「副次効果」として、XSS 対策となる。ってことです。

投稿2020/11/14 01:45

退会済みユーザー

総合スコア0

2020/11/14 07:18

ご回答ありがとうございます。理解できました。 >エスケープ処理の「副次効果」としてとても分かりやすかったです。

行動規範の内容に同意します

&をエスケープする機能がないと、ブラウザ画面に<などと表示させることが出来ません（&lt;)。

投稿2020/11/14 01:32

総合スコア85901

2020/11/14 07:20

ご回答ありがとうございます。理解できました。XSSの対策としては直接関係ないと理解しました。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問