UTF-7によるXSSからの防御方法 - 葉っぱ日記

セキュリティ

UTF-7クロスサイトスクリプティング対策は3つ。重要です。

UTF-7によるXSSを防ぐには、以下の対策をとれば大丈夫です。

  • 文字エンコーディング(charset)を明示する(できればHTTPレスポンスヘッダがよい)
  • HTTPレスポンスヘッダではなく、 で指定する場合には、 より前に攻撃者がコントロール可能な文字列をおかない
  • 指定する文字エンコーディング名は、ブラウザが確実に認識できる名称とする

ワラタw

セ%00クロスサイトスクリプティング

screenshot