昨日の飲み会で友人K(笑)に指摘されたのですが、phpで入力フォームを作って、それらをhtmlのタグ形式で表示する場合、
悪意あるひとがJavaScriptなどをフォームに入れ込んで送信することによって、個人情報を漏洩させたり、いたずらできるらしいです。(クロスサイトスクリプティングというそうです)
調べた結果、htmlspecialchars関数を使って特定の文字を変換することで一応回避ができるみたいです。(サニタイジングというそうです)
ただ、ユーザにスタイルシートを編集させたりするサイトや、URLを入力させてそれをリンクにするサイトの場合、
上記以上に複雑なスクリプティングが必要だそうです。
ここで、またもやFlashの安全性を知ったというか、表示する場所をFlashに指定すると、それをHTMLとして表示しないかぎりいたずらは不可能なのです。
とりあえず、Flashで表示させている分には問題ないのかな・・・。
入力時にいたずらできるか考えたのですが、入力時といってもその処理は変数の受け渡しにほぼ終始するから
悪意なタグやスクリプトがあっても入力時なら大丈夫なのかなと思ったりした。
ただ、先ほどにも言ったとおり、スタイルシートをユーザに作成させたり自由度をあげるとそれだけリスクが高まるようです。
P.S.
.htaccessファイルの最終行には必ず改行を入れないと設定が有効にならないそうですヽ(`Д´)ノ
これでrdfのダウンロードを防ぐことができました(;´Д`)
ただ、XSLよくわからないので非常に見づらいですがね・・・。
悪意あるひとがJavaScriptなどをフォームに入れ込んで送信することによって、個人情報を漏洩させたり、いたずらできるらしいです。(クロスサイトスクリプティングというそうです)
調べた結果、htmlspecialchars関数を使って特定の文字を変換することで一応回避ができるみたいです。(サニタイジングというそうです)
ただ、ユーザにスタイルシートを編集させたりするサイトや、URLを入力させてそれをリンクにするサイトの場合、
上記以上に複雑なスクリプティングが必要だそうです。
ここで、またもやFlashの安全性を知ったというか、表示する場所をFlashに指定すると、それをHTMLとして表示しないかぎりいたずらは不可能なのです。
とりあえず、Flashで表示させている分には問題ないのかな・・・。
入力時にいたずらできるか考えたのですが、入力時といってもその処理は変数の受け渡しにほぼ終始するから
悪意なタグやスクリプトがあっても入力時なら大丈夫なのかなと思ったりした。
ただ、先ほどにも言ったとおり、スタイルシートをユーザに作成させたり自由度をあげるとそれだけリスクが高まるようです。
P.S.
.htaccessファイルの最終行には必ず改行を入れないと設定が有効にならないそうですヽ(`Д´)ノ
これでrdfのダウンロードを防ぐことができました(;´Д`)
ただ、XSLよくわからないので非常に見づらいですがね・・・。
