晴ときどき鬼瓦。
「実現するWeb」をめざした「Affelio」。開発/アントレプレナーブログ。

PerlスクリプトでのXSS対策。

2004年10月15日
[ Computer・Network ]

Perlでのクロス・サイト・スクリプティング(XSS)対策についてちょっと調べていたのだが、IPAIPA ISEC セキュア・プログラミング講座というサイトが、意外にも(といっては失礼か)結構きちんと現実的なことを書いてあって官庁のイメージには似合わずびっくりした。

・Perlのtaintモードはとりあえず最低限。

・ファイル名を通じてのOS command injectionなどの対策としては
 ・openでなくsysopenを使う
 ・特殊文字などをエスケープさせるなどしてOS command injection対策
 ・..など調べてdirectory traversal対策

・HTML、URIサニタイズはCGIへの入力時でなく、最終のHTML出力時に行う。
 ・HTML::Templateの場合は、ESCAPE="URL" ESCAPE="HTML"を使用。
 ・Template::Toolkitの場合はもっと強力にエスケープできる。

・mod_perl + Apache::TaintRequestを使うのもよろし。

Posted by onigawara at 2004年10月15日 08:10 | コメント (0) | トラックバック (0)

この記事に対するコメント

この記事に対するコメントはまだありません。


コメントを投稿する




保存しますか?



この記事のトラックバックURL


この記事に対するトラックバック

この記事に対するトラックバックはまだありません。

この記事へのアクセス元

    [an error occurred while processing this directive]


































Made with dreamweaverMade with fireworksPowered by Movable Type 4.23-jaPowered by Wandering Wind
Copyright : [Articles] (C) 晴ときどき鬼瓦。 All Rights Reserved.
[Comments/Trackbacks] ... Authors of those have rights.