0
出力のエスケープに使用できるHTMLに組み込まれている機能がいくつかありますか?たとえば、このタグ内のすべてが通常のHTMLと見なされるのではなく、通常のテキストとして扱われるようブラウザに指示するタグです。HTMLエスケープ出力をネイティブに組み込み関数で出力できますか?
Google AutoEscapeやMicrosoft AntiXSSなどがありますが、HTMLには組み込まれていません。
明らかな疑問がなければどうしてですか? XSSは多少一般的で、devsが簡単に見逃す可能性のあるよく知られたタイプの攻撃であるため、なぜこれを防ぐためにHTMLに組み込まれた機能がないのでしょうか?
これはよく知られているベクトルだから、有能な*デベロッパーはIMOを防ぐために必要な項目を実行できるはずです。 SQLと同様、SQLインジェクション攻撃を防ぐためのものは何も組み込まれていませんが、SQLインジェクションを防ぐために活用されるツール(EF、パラメータ化されたクエリなど)があります。 – Tim
コンテンツに「通常でないHTML」とマークされたタグがある場合、内容に終了タグが含まれているとどうなりますか?あなたはそれをエスケープさせますか? – David
@Timおそらくパラメータ化されたHTMLのようなものが実装できますか? SQLの場合、開発者を支援するPHPのPDOのようなツールに多くのツールが組み込まれています。私は、HTML/Javascriptには同等のツールが組み込まれていないと思っています。あるいは、私はそれらを知らないだけです。 – Nedo