【node.js】サーバサイドjavascript 4【io.js】 [無断転載禁止]©2ch.net

[過去ﾛｸﾞ] 【node.js】サーバサイドjavascript 4【io.js】 [無断転載禁止]©2ch.net (1002ﾚｽ)
上下前次1-新
抽出解除必死ﾁｪｯｶｰ(本家) (べ) ﾚｽ栞あぼーん

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

142(1): 2016/05/17(火)11:22 ID:vWciy/Ev(1/4) AAS
>>141
そら、メーラーで防いでも無駄だし、メーラーか防ぐべきもんじゃないからね。

146: 2016/05/17(火)12:50 ID:vWciy/Ev(2/4) AAS
>>144
そうだね、だから、アプリケーションとして、外部のなんかとか、ユーザ入力を実行なんかしないように作らないとね。CSP化とか。

152: 2016/05/17(火)16:12 ID:vWciy/Ev(3/4) AAS
>>147
ごくごく当たり前の事だが、
「枠組みでどんなサンドボックスを用意しても割と抜け穴は有る」ので、「サニタイズしてないものを画面に出さない」
それだけ。

自作でも、既存のでも良いけどMVVMフレームワークでも使ってきちんと対応すればいいと思うよ。
vue.jsなんかだと、{{hoge}}で展開されるものは必ずエスケープされてるし、
エスケープされない{{{hoge}}}を使うと使ってるだけで警告出る。

156(1): 2016/05/17(火)18:45 ID:vWciy/Ev(4/4) AAS
そもそも、XSSと言うが、その意図がわからんのだよね。
全然クロスじゃないでしょ、アプリとしてならば。
その中で、Webや信頼出来ないソースからテキトーに取った値を不用意に実行すると死ぬよって凄く当たり前の話。
自分のグローバルIPが知りたいからって言って
$piyo=`curl ..... | awk ....`
を、rootで動くスクリプトで叩くようなもん。

上下前次1-新書関写板覧索設栞歴

ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.025s