teratail header banner
teratail header banner
質問するログイン新規登録

回答編集履歴

1

表示に限らないので修正

2017/05/28 02:15

投稿

maisumakun
maisumakun

スコア146672

answer CHANGED
@@ -1,4 +1,4 @@
1
- XSSにしてもSQLインジェクションにしてもエスケープの鉄則は、**表示する直前に**行うことです。途中で変にエスケープを入れてしまうと、「本来意図しないデータが生成されてしまう」「どこまでがエスケープしたデータなのかわからなくなる」など、不具合や脆弱性の要因となります。
1
+ XSSにしてもSQLインジェクションにしてもエスケープの鉄則は、**相手のシステムへ出力する直前に**行うことです。途中で変にエスケープを入れてしまうと、「本来意図しないデータが生成されてしまう」「どこまでがエスケープしたデータなのかわからなくなる」など、不具合や脆弱性の要因となります。
2
2
 
3
3
  Socket.ioの場合、「Socket.io側でHTMLまで作ってしまう」という構造にするなら別ですが(普通そんなことはしません)、そうでなければHTML生成を行うのは**フロントエンド側のJavaScript**です。
4
4