Target | News |
Subject | anti-XSS system (4) |
Summary | 「大きな傘」(BigUmbrella)XSS対策システムの最終回。考察編です。(3)に示したコードには、議論の余地が2つ残っています。・疑うべきリクエストのパターンがそれで良いのか(3)で示したチェックパターンはこうです。preg_match( '/[<\'"].{15}/s' , $val , $regs )タグの... |
やはり外部からの「HTML許可」はあり得ない設定ですね。
承認制でも事実上意味のないケースが多く見られますし。