'ashula.info
2011/09/28 水

28 Sep 2011

  • 1000
  • 晴れ
  • 出張り
  • IPA から出た文書に document.write 使うときには,「通常のサニタイズ」と実体参照への変換をするというようことが言われてたのだけどそれだと足りなくて
    • サーバサイドで生成してる document.write の引数がいじれるってのは任意の JS コードの挿入が可能とほぼ同義なので実体参照への変換と \uXXXX への変換で確実に文字列にする必要があって
    • クライアントサイドだとすでに文字列なので実体参照にするか encodeURIComponent するかを使い分ける必要がある
back to top

prev post next post


Powered by Hugo, based on the Er theme.
Copyright (C) 2004-2015 t.ashula. Somerights Reserved.