Q&A
グローバル変数はどれでしょう。
ちなみに$_SERVERのことでしたら「スーパーグローバル変数」「自動グローバル変数」なのでいわゆる「グローバル変数」とは正確には違います。
https://www.php.net/manual/ja/reserved.variables.server.php
CSSを更新後に反映させる為に、
ヘッダ内にスーパーグローバル変数を利用しています。
この場合も、XSS対策でエスケープ処理が必要でしょうか?
教えて頂ければ幸いです。
どうぞよろしくお願い致します。
html
1<head> 2<meta charset="utf-8"> 3<link rel="stylesheet" type="text/css" href="style.css?<?= filemtime( "{$_SERVER['DOCUMENT_ROOT']}/style.css" ) ?>"/> 4<title><?=h($res_name)?></title> 5</head>
あと「XSSがどういう操作で発生しうる脅威か」というのが分かっていれば明白とも思いますが、そのあたりはどうでしょう
アドバイスいただき有難うございました。
>スーパーグローバル変数
スーパーグローバル変数でした。
失礼しました。
>XSSがどういう操作で発生しうる脅威か
分かっていないので、まずはここを調べます。
対策しか頭になく、このような質問になってしまいました。
調べた上で、質問するべきでした。
お忙しい中、示唆を与えて頂きありがとうございました。
回答1件
0
ベストアンサー
XSS対策は、
ユーザーの入力が伴う変数のみ必要と考えています。
ゆえに、スーパーグローバル変数でのXSS対策は必要ない、という結論に至りました。
投稿2022/01/15 03:59
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
