Target | News |
Subject | anti-XSS system (4) |
Summary | 「大きな傘」(BigUmbrella)XSS対策システムの最終回。考察編です。(3)に示したコードには、議論の余地が2つ残っています。・疑うべきリクエストのパターンがそれで良いのか(3)で示したチェックパターンはこうです。preg_match( '/[<\'"].{15}/s' , $val , $regs )タグの... |
とにかく、JavaScriptで最も怖いのは、"XMLHttpRequest"なので、この文字列と、動的にXMLHttpRequestという関数名を生成・実行する"eval"の2つを検出することは最低限必要でしょう。