[セキュリティ] * サイト脆弱性をチェックしよう！ 第2回 “正しい”ウェブアプリのコーディングとは

---

```textile属性の値として出力するときは「"」と「&」をエスケープするのが原則だ。その際、属性の値を「"」で括ることが前提となる。…HTMLを出力するのだから、HTMLの仕様は知っておく必要があるだろう。詳しくは、* W3Cのウェブサイト

---

を参照してほしい。```参照すると、「SGML requires that all attribute values be delimited using either double quotation marks (ASCII decimal 34) or single quotation marks (ASCII decimal 39). …In certain cases, authors may specify the value of an attribute without any quotation marks.」となりますけどｗ　（いや、もちろん私も、属性値を囲まないことや、標準の HTMLEncode 系の関数でエスケープされないことが多い「'」で囲むことは推奨しませんけど、「HTMLの仕様」の連呼や「前提となる」発言がちょっと引っかかったのでｗ）[動物] * YouTube.jpn.org: 僕のティッシュ

---

関連（うそｗ）： * ねたミシュラン ★ 一家に一匹トイレットペーパー猫

---

[セキュリティ] * Preventing XSS with Data Binding. The Poc (wisec.it)

---

• yohgaki

---

さん経由。 面白いコンセプトですｗ　けど、ここまでやるなら 普通に Webアプリ側だけで完結させられるんじゃないかなと思ったりｗ　 実装の方は、スタイルシートへの出力は さすがに抜け道が多くて難しいと思うのと、（攻撃をしやすいようにわざとやってるのだろうと思いますけど） URL のパースでホワイトリスト方式の isGoodProto ではなく ブラックリスト方式の方を使ってることが気になったりｗ[雑談] * 若者が答えの出ない難問に向き合ったセキュリティキャンプ2007 (ITPro)

---

あらためて、こうやって講師陣が並んでいるところを見ると・・・すごい人ばかりで圧倒されますね〜。 とっても贅沢な環境で勉強できた学生たちがうらやましいですｗ　負けないように頑張らなきゃ。