React

<p>ユーザー入力値をMarkdownとして受取り、HTMLとしてレンダリングしたい場面は少なくない。<br> 当然ながらHTMLとして出力するため、<code>onerror</code>や<code>href</code>属性などは適切にサニタイズしなければならない。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8...

<p>所謂、最近流行っているJavaScriptフレームワークでのXSSの例をいくつか挙げようと思う。<br> 最近のJavaScriptフレームワークは賢いので、データをバインドする際にHTMLエスケープしてくれてXSSから保護してくれる。<br> しかしながら、保護が適用されないケースもあるため、過度にフレームワークに信頼しているとXSSを作り込んでしまう。 ここではReactとVue.jsで...