Copyright © NIFTY Corporation All Rights Reserved.
XSSの対策(⼀部)
32
URLの出⼒は [http://]や [https://] で始まるURLのみを許可
... 要素の内容を動的に⽣成しない
詳細は以下を参考
https://www.ipa.go.jp/security/vuln/websecurity/cross-site-scripting.html
HTML(aタグ)
「javascript: (スクリプト)」とするとaタグを
クリックした際にJavaScriptを実⾏させることができる︕
上⼿く悪⽤されて任意のスクリプトを埋め込まれる可能性が⽣じるのを防ぐ