回答編集履歴
1
表示に限らないので修正
answer
CHANGED
@@ -1,4 +1,4 @@
|
|
1
|
-
XSSにしてもSQLインジェクションにしてもエスケープの鉄則は、**
|
1
|
+
XSSにしてもSQLインジェクションにしてもエスケープの鉄則は、**相手のシステムへ出力する直前に**行うことです。途中で変にエスケープを入れてしまうと、「本来意図しないデータが生成されてしまう」「どこまでがエスケープしたデータなのかわからなくなる」など、不具合や脆弱性の要因となります。
|
2
2
|
|
3
3
|
Socket.ioの場合、「Socket.io側でHTMLまで作ってしまう」という構造にするなら別ですが(普通そんなことはしません)、そうでなければHTML生成を行うのは**フロントエンド側のJavaScript**です。
|
4
4
|
|