  |
うーん。
http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E
ってすると、JavaScript(alert)が実行されちゃうんだよね。
だったらまず、その実行されちゃったページをブラウザで表示した状態で、
ブラウザから「htmlのソースを表示」ってしてみてくれるかな。
エディタか何かでhtml表示された?
そしたらその状態で「script」って文字を検索…
どうかな。
どこかで、
<script>alert('xss')</script>
ってなってない? まさにソイツがJavaScriptのalertを表示してるんだよね。
てことはそれが
<script>alert('xss')</script>
みたいにhtmlのタグじゃなくなっちゃえば解決するよ。
それをするのが、さっきのhtmlspecialchars()だよね。
どこでその<script>タグが表示されてるだろう。
htmlのtitleとかmetaのあたりかな?
じゃあ、phpのプログラムの中にも、そこに変数を埋め込んで出しているところが必ずあるはずだから、
それを探し出して、htmlspecialchars()しちゃうといいんじゃないかな。
追記
ぼくはすっかり昼夜反転してる感じだよ。
社会人としてこれはまずいよね!
徹昼すれば1日間くらいは治るんだけど…
睡眠のことは、睡眠のプロであるコトリコ先生に聞いてみよう!
http://anond.hatelabo.jp/20081020051835 id:hiroyukiegamiだよ! 先生から ブラウザから「htmlのソースを表示」ってしてみてくれるかな。 とアドバイスを貰って http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript...
4
