回答編集履歴

XSS

2020/11/03 12:46

投稿

think49

スコア18194

answer CHANGED Viewed

@@ -1,7 +1,39 @@
+### HTMLパース前の文字列
 DOMになった時点でHTML文字実体参照などの**HTMLエスケープのパース処理は既に終わっています**。
 HTMLパース前の文字列を得るには、Fetch APIで `location.href` のbodyを取得して下さい。
 - [Fetch API - Web API | MDN](https://developer.mozilla.org/ja/docs/Web/API/Fetch_API)
 - [Window.location - Web API | MDN](https://developer.mozilla.org/ja/docs/Web/API/Window/location)
+### XSS
+> 質問のきっかけはXSS対応に必要なエスケープのことを調べていて、
+それは質問文に書くべきだったと思います。
+私を含めて皆さん、XSSの観点で回答していません。
+---
+JavaScriptに限定するなら、`innerHTML, outerHTML, insertAdjacentHTML` でHTML断片文字列をドキュメントに挿入する際、「任意の文字列」がエスケープされていない事でXSSが発生します。
+- `<p>&lt;foo&gt; "bar"</p>` のように「<p>の内容」が「任意の文字列」なら、<> のエスケープが必要ですが、" はエスケープ不要です
+- `<p title="<foo> &quot;bar&quot;">` のように、「"で括られた属性値」に「任意の文字列」を挿入する場合は " もエスケープしなければなりません
+質問文のHTMLは前者なので、" のエスケープは本来不要です。
+また、次のようにHTML断片を挿入するAPIを使わずにDOMを変更した場合には**エスケープ処理そのものが不要**な事も分かります、
+```JavaScript
+function sample (value) {
+  var p = document.createElement('p');
+  p.title = p.textContent = value;
+  return p;
+}
+var p = sample('<foo> "bar"'); // 任意の文字列を渡す
+console.log(p.outerHTML); // <p title="<foo> &quot;bar&quot;">&lt;foo&gt; "bar"</p>
+```
 Re: webiroha さん

MDN

2020/11/03 12:46

投稿

think49

スコア18194

answer CHANGED Viewed

@@ -1,4 +1,7 @@
 DOMになった時点でHTML文字実体参照などの**HTMLエスケープのパース処理は既に終わっています**。
 HTMLパース前の文字列を得るには、Fetch APIで `location.href` のbodyを取得して下さい。
+- [Fetch API - Web API | MDN](https://developer.mozilla.org/ja/docs/Web/API/Fetch_API)
+- [Window.location - Web API | MDN](https://developer.mozilla.org/ja/docs/Web/API/Window/location)
 Re: webiroha さん

HTML文字実体参照

2020/11/01 02:44

投稿

think49

スコア18194

answer CHANGED Viewed

@@ -1,4 +1,4 @@
-DOMになった時点で**エスケープ処理は既に終わっています**。
+DOMになった時点でHTML文字実体参照などの**HTMLエスケープのパース処理は既に終わっています**。
 HTMLパース前の文字列を得るには、Fetch APIで `location.href` のbodyを取得して下さい。
 Re: webiroha さん