出力エンコードをサーバー側ではなくクライアント側で行う必要があると誰も聞いています。私の質問は:それは文脈によって変化しませんか?XSSでクライアント側のエンコードをバイパスする方法
- クライアント側の出力エンコーディングが十分で、 をバイパスできない場合がありますか?
encodeURIComponent
のようなクライアント側のjs関数を使用してXSSを引き起こすURLをエンコードすると、攻撃者はこれを回避してXSSを引き起こす可能性がありますか?- フィッシングはXSSによっても発生する可能性があります。もし私が少なくとも出力をエンコードすればフィッシングを防ぐことができますか?
もう少し文脈を提供できますか?クライアントサイドのXSSは今何をエンコードしていますか? – deceze