T.Teradaの日記 - DeXSSを試した
DeXSSはJavaのアンチXSSライブラリです。掲示板やWebメールなどのアプリで、HTMLタグを許容しながら、JavaScriptを除去したい場面で使用します。 XSS攻撃対策用のライブラリ - DeXSS 1.0登場 | エンタープライズ | マイコミジャーナル DeXSS -- Java program for removing JavaScript from HTML(DeXSS開発者のページ) ちょっと触ってみました。 概要 以下のようなシンプルな処理をします。 ・TagSoupでParse ・正規表現でHTML要素/属性をフィルタ プログラムは実質数百行程度しかありません。 問題点 ソースを見たり、実際に使ってみると多くの欠陥が目に付きます。 ブラックリスト まず最大の問題は、ホワイトリスト方式ではないことです。要素/属性名/属性値は、定義された正規表現(ブラックリスト)でフ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Code Archive - Long-term storage for Google Code Project Hosting.
