WebフレームワークXSS対策の自動化
- 5. 特徴
• 文脈に応じて正しいエスケープが自動的に行
われる。
• 例えばHTMLとJSでは違うエスケープ処理が必要。
• フレームワーク自体のコードは変更しない。
• 稼働中のコードに少ない変更で導入できる。
- 16. 導入手順
• テンプレート自体はそのまま使える。
• テンプレートの読み込みクラスを
EnvironmentからFavEnvironmentに変更。
• 入力の取得を
before: request.values.get(“name”) #返り値はstring
after: favreq(“name”) #返り値はUserInputString
に変更。