[PHP-users 8348] 簡易クロスサイトスクリプティング対策スクリプト

[Yasuo Ohgaki]

# 同じようなメールを購読していないメールアドレスから
# 送信したので2通同じようなメール届くかも知れません。

大垣です。

個人的に管理している http://www.webds.net/ に複数のクロスサイト
スクリプティングに対する脆弱性がある事を指摘して頂きました。

http://www.webds.net/modules/news/article.php?storyid=33

に暫定的な対処策として簡易クロスサイトスクリプティング対策スクリプト
を作成したので掲載しています。このスクリプトだけでは対策は十分ではあ
りませんが、多くのセキュリティー上の問題は回避できます。

同じように自分で書いたコードではないが、クロスサイトスクリプティン
グに対する脆弱性がある事が判っており、すぐに対応できない方には役に
立つかも知れません。（サイトが機能しなくなる場合もあるので、予防的
に使う事はお奨めしません）

http://www.webds.net/modules/xoopspoll/index.php?poll_id=4

でこのスクリプトが役に立つか立たなかったかアンケートしています。
よろしければ、ご協力ください。

最後に、根本的なクロスサイトスクリプティング対策はコード本体の脆弱性
を修正する必要があります。このスクリプトを使っているから安全と言う事
はありません。残っている危険性はstoryid 33にコメントしますが、コード
を読まないとなんとも言えません、、

手っ取り早く書いたスクリプトなので抜けがあるかも知れません。ご指摘、
よろしくお願いします。

--
Yasuo Ohgaki