- 悪意・危険性
- 2007/07/20 (Fri) 00:58:32
紅堂幹人 馬鹿者は「imgタグ,on~(JavaScriptハンドラ),script,styleといった危険な文字列を置換・除去してるから大なり・小なり記号,2重引用符をデコードしなくても安心さ!」というかもしれないが、それは間違いである。MSIE/Firefox/Operaといった標準ブラウザでは『image src=』と書いても『img src=』と同じように表示されてしまうし、『input type=image src=』といった感じにしても画像等が表示されてしまう恐れがある。つーか、一々noscript/noframes/noembed/commentといった文字列,applet/objectとかも禁止する、とか書いてたら長くなるしPerlやPHPのようなインタプリタでは馬鹿らしいからタグ禁止にした方が手っ取り早いのである。タグ閉じとかも判定しなきゃならないのは面倒だし、やはりBBCodeのように基本的な物を開始・終了タグずつに置換してタグ利用可能にしてやるのが一番効率的にも安全面でも良いのだ。ブログ等『自分が投稿する』など利用者特定型であればHTMLエンコードなどせずに済むのだが。何故わからないかな、とか思ったり? ああ、コレで大学内のWebサイト大会に文章メインで投稿しちまうかな。それが楽か。どうせ受賞系公表は同意しないし、”提出した”という事実さえあれば事済んでしまうのだから。
「サイトを作ろう!」と思い立ってHTML辞典等を購入する層がどれくらい居るのだろうか。それは不明だが、大抵は本代をケチって、まず検索エンジンから『ホームページの作り方』なんて馬鹿らしいキーワードで探してしまうのだろう。それから配布CGIもPerl等スクリプトなんて禄に読まずに設置してしまうから厄介なのだ。『ホームページ』という誤用が罷り通ってしまう『Webサイト・Webページ』に関してだしねぇ。大人しくブログでも借りていれば良いのに。ブログだけで大抵の事柄できてしまうだろう、という。ページのデザイン以外。本日の読了⇒仮面の島
- この記事のURL
http://galle.oe-p.com/cgi-bin/diary_01.cgi?category=diary&anchor=070720 - カテゴリ:æ¥è¨ / この記事のURL / コメント(0)