マークアップエンジニアが知っておきたい3つの脆弱性:補足 | 水無月ばけらのえび日記公開: 2009年10月2日0時30分頃 先月「マークアップエンジニアが知っておきたい3つの脆弱性」という資料を公開しました。これは実際に話を聞いた参加者の方が後で話を思い出したりするために……という意図しかなかったのですが、特に深く考えずに公開したところ、予想以上に反響や反応をいただきました。ありがとうございます。 せっかくなので、この場でいくつか補足しておきます。 これはそのとおりですね。私のミスで、単純に抜けていました。ごめんなさい。 #PCDATAに限らず、属性値の中でも & は文字参照に (&や&などに) 変換する必要があります。そうしないと不正な実体参照が挿入されてinvalidになってしまうおそれがありますし、HTMLの話やプログラミングの話を書き込みたいときなどに "&" という文字列がうまく表現できなくなったりして困ります。 ※もっとも、セキュリティ上の問
