まとめと考察

DOM based XSS むずかしい？

• 正規表現難しい？ 安全なコーディングのためにはいくつかのコツがありそうだ。
• 「xx以外の任意文字」を使った正規表現 → プログラマの想像の範囲の認識と仕様の剥離による考慮漏れ。
• \ のように実装固有の考慮漏れ ブラックリスト追加 → もしかしたら抜け道があるかもしれない、きっとある。
• ✕ 危険な文字列を禁止する ◯ 想定される全てのケースで安全だと保証できるコードを書く
• HTMLの組み立て方 → 必ずhtml escapeを行う。もしくはDOMで組み立てる。