会員登録すると
学習することができます。
会員登録する(無料)
学習することができます。
登録済みの方はこちら
ログイン
学ぶ目的
XSSはこうして起きる
XSS(クロスサイトスクリプティング)は、入力欄などを通じて悪意あるスクリプトをページに注入し、他のユーザーのブラウザで実行させる攻撃です。 盗まれたCookieで攻撃者はそのユーザーになりすましできます(ネットワーク講座で学んだセッションの仕組みが逆手に取られる)。
防御の基本 ― エスケープ
対策は、ユーザー入力を表示するときにエスケープ(特別な意味を持つ文字を無害な表記に変換)することです。
フレームワークは守ってくれる。ただし——
朗報: ReactもRailsも、通常の書き方なら自動でエスケープしてくれます。 Railsのビューも<%= %>は自動エスケープ、rawやhtml_safeは無効化です。
このレクチャーで学ぶこと
- XSSの仕組みと被害
- エスケープという防御
- フレームワークの保護と、それでも危険な操作
質問
まだ質問は投稿されていません。
質問投稿
ログイン後に質問の投稿ができます。