CyberFix Note
セキュアコーディング
入力バリデーションと出力エスケープの原則。入口で検証し、出口で文脈別にエスケープする
セキュアコーディングの土台である入力バリデーションと出力エスケープを、それぞれの役割の違いから整理します。入口の検証は防御の一段目、出口の文脈別エスケープがXSSやインジェクションの根本対策である理由を、原理と実務の判断基準まで掘り下げます。
#XSS の記事
脆弱性・CVE解説
XSS(クロスサイトスクリプティング)の仕組みと対策。反射型・格納型・DOM型を原理から整理
代表的なWeb脆弱性であるXSSを、なぜ起きるのかという原理から、反射型・格納型・DOM型の違い、想定される影響、根本対策である出力エスケープ(コンテキスト別エンコード)とCSPによる多層防御まで、実務目線で体系的に解説します。