アカウント名:
パスワード:
フォームからの入力をチェックすることで,ほとんどの問題を回避できる.そもそも,クロスサイトスクリプティングはフォームからの入力に問題がある場合がほとんどなので,この対策はかなり有効だと思われる.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
入出力のエスケープ (スコア:2, すばらしい洞察)
ここ [ryukoku.ac.jp]でも言われているように、エスケープの必要の有無は、本来は出力時に決定されるわけです。
Re:入出力のエスケープ (スコア:2, 参考になる)
このあたり [ipa.go.jp]の「サニタイジングはHTML生成時に」に詳しく書いてありますね。
この記事 [ipa.go.jp]は、WEBプログラマには本当に参考になります。