20年前のweb開発、「みんな知らないけど…… HTMLに値を出力するときは………… エスケープというのをするといいらしい!!!!!」(一同感動)みたいなノリだった記憶がある。
@todesking
本当にみんなエスケープという概念を知らなかったので、その辺のフォームに変な字を入れると30%くらいの確率でXSSできてました。さすがに偽の記憶では?
@todesking
MEMO:
- 実際その通りだったし、WEB開発に限らず業務システムでも普通にXSSが放置されてるシステムも多数あった
- まぁ、黎明期というのはそんなものである
- だから徳丸先生も本を書いたわけだし(体系的に学ぶ 安全なWebアプリケーションの作り方は2011年刊行)
(2025/03/06)