ユーザーがマークダウンで投稿できる簡易なメモアプリを作成しました。
XSS対策として、「<」と「>」を「<」と「>」に変換する処理を追加しました。
何故この二つかと言うと、htmlであれ、scriptであれ、この二つをエスケープすればそのコード自体を無効化できると思ったからです。
ところが、特殊文字はこれ以外にも、以下のようなものがあるかと思います。
html
1& --> & 2< --> < 3> --> > 4" --> " 5' --> ' 6/ --> /
果たして「<」と「>」だけでは足りず、頻繁に見かける上記6種類をエスケープする必要があるのでしょうか?
調べてもしっくりとする答えが見つからなかったので質問させて頂きました。
何か知っている方がいましたら、どんな意見でも構いませんので、頂けると幸いです。よろしくお願いします。
回答3件
あなたの回答
tips
プレビュー