2007年10月12日
クロスサイトスクリプティングの自衛策(開発編)
三部作完結編。
ユーザ編、運営編、と来ましたので、最後は開発編です。
今となってはかなりメジャーな脆弱性なため、Web系・非Web系問わず、
多くの開発者がクロスサイトスクリプティングについて知っていることでしょう。
なので、ここでとやかくは言いません。
開発の場でクロスサイトスクリプティングに対する施策と言えるのは、
・Validation(入力チェック)による制限
・Sanitize(変換処理)による無害化
・フレームワークによるコードの強制
あたりでしょうか。
当り前すぎてだからなんだと各方々から言われそうですが、
3つ全部実施していますか?というと、意外とやってない様な気がします。
この文字列は入力チェックをしていて、この時にこの文字が表れるわけがないから……とか
表示するときに全部変換処理しているはずだから……とか
きっとフレームワークは凄いから、対策してくれているにちがいない……とか
意外とありそうです。
実際には、個々の要素がしっかりしていて結果として問題ない場合もあるのですが、
昨今の状況を鑑みるに、二重三重の対策をすることも考慮すべきです。
ちょっと自衛策とはちがうかもしれませんが、こんな感じでまとめてみました。
あなたはどこに属してますか?きちんと対策してますか?
トラックバック
このエントリーのトラックバック:
http://news.brain-gate.net/mt-tb.cgi/383
