Q&A
HTMLに対してどこまでをエスケープ処理の対象にすればよいでしょうか。
例えば下記のようなHTMLに対してはどうでしょうか。
トークンの値は当然として、optionタグのvalue属性値や要素内容もエスケープするべきでしょうか?
HTML
1<div id="sendmail"> 2 <form id="form" action="" method="post"> 3 <input id="saddress" type="text" name="address" placeholder="あなたのメールアドレス" maxlength="256"><br> 4 <select id="option" name="option"> 5 <option value="bug">バグ報告</option> 6 <option value="opinion_reqest">ご意見・ご要望</option> 7 <option value="other">その他</option> 8 </select><br> 9 <textarea id="text" name="sendmail_text" rows="8" cols="40" placeholder="送信内容" maxlength="500"></textarea><br> 10 <input id="token" type="hidden" name="sendmail_token" value=""> 11 <input id="post" type="submit" name="sendmail_post" value="内容確認"> 12 </form> 13 </div>
回答2件
0
ベストアンサー
これだけでは、なんとも言えません(極端な話、このような内容を静的なHTMLとして作成するのであれば、どこにもエスケープは必要ありません)。
基本的に、動的に変わる値については(それ自体をHTMLとして出力したいという特殊事情がなければ)何かしらのエスケープが必要です。ただ、文字列を直接エスケープする方法だけでなく、JavaScriptなどDOMに含まれる.textContentのように、「テキストとして処理させるメソッド」を使う方法によっても可能です。
投稿2016/11/02 12:06
総合スコア145183
0
HTMLエンコードすべきところの判断として
ユーザー入力・cookie・DBなどから動的に出力している箇所に
実際に
'><script>window.alert('XSS Alert');</script>
”><script>window.alert('XSS Alert');</script>
などを入れたHTMLを作成して試すのが一番です
投稿2016/11/02 12:11
総合スコア7914
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。