セキュリティは最優先。XSSやSQLインジェクションから守る対策を。 #PHPセキュリティ

なるほどね〜 Content-Type指定できるからブラウザでMIME sniffingされた時に意図しない形でファイルが解釈されてXSSが成功するってことね 対策としてはサーバー側でのContent-Typeの指定、MIME sniffingの無効化、ファイルの配信を行うドメインを分離するのが良いのね blog.flatt.tech/entry/content_…

oEmbed公式がレポジトリのjsonファイルにregistry追加よりも、discoveryの方法を利用しろって言ってるけど、wordpressなど大概のサイトではXSS対策でregistry登録しないとoEmbedしてくれないってどういうことだってばよ

なので、添付ファイルによるXSSの一般化された対策として示すには、読み手にそこまでの理解を求めるということで少し難しいという話を徳丸本のレビュー時にレビュアー陣でしました。

「最も望ましい対策として、親のドメインを含め完全に分離がなされたファイル配信用のサンドボックスドメインを用意することが挙げられます。」 原理上はそうなんだけど、実際はそこまで単純化するのが難しいということで、XSSへの対策としての添付ファイルのドメイン分離は徳丸本でも見送った

返信先:@kimukou2628まあその手の誤操作狙いとかでなんとか騙そうみたいなアプローチでしょうねえ…… 歴史的にはXSSとかがそういうやつですが。この辺も対策が進んで強烈なやつはなかなか見なくなりましたけども

サーバーの「XSS対策」をOFFにすることで解決しました！ JavaScriptがなんかよくないらしい。

XSSの説明から具体的な対策まで、IPAのサイトはホント助かる ipa.go.jp/security/vuln/…

あとセキュリティもなー。 定番の対策は対応済みだけど、念の為にもxssとsqlインジェクションはちゃんと確認する必要もあるわ…。 あとトークン弄ってcsrf対策が効いてるかも

最新のWebアプリケーションセキュリティのベストプラクティスをチェックしよう！🛡️ 1. 定期的なアップデート✨ 2. 多要素認証🔐 3. 入力値のバリデーション🕵️‍♂️ 4. XSS/SQLi対策🧩 #セキュリティ #Web開発 #プログラミング

XSS対策として、AWS WAFのAdmin protectionでカバー #secjaws #secjaws33 #jawsug

ChatGptにDOM Based XSSの対策を指示したら、以下でHTMLエスケープしていて、 x = $('<div>').text(text).html() バニラJSで書いたら以下だなと思い p = document.createElement('p') p.textContent = text x = p.innerHTML ChatGptに簡略化を依頼したら以下を提示された。なるほどねぇ… x = new…

もしかして、 弊学寮の点呼システムの脆弱性って、 フォームで特殊文字をエスケープしてなくて、XSSとかCSRF対策ができてなくて、 SQLInjectionとか、 トークン定義してないとかは 流石に無いよね。。？

Webアプリケーションセキュリティの最新ベストプラクティスをシェア！🔥 セキュアなコード、XSS対策、CSP実装など。ユーザーのデータを守るため、常に最新の知識をアップデートしよう！🔒 #WebSecurity #セキュリティ #プログラミング

コンタクトフォームの自作PHPできたあああ！ OHA！で試しに実装_(┐「ε:)_ ・送信先メールアドレスは外部ファイルに設置 ・XSS攻撃対策 ・htmlspecialchars() 関数使う ・あとベーシック認証かけてみた 自作したけどセキュリティ対策不安だから プラグインやPHP工房使うと良き🤣 #デイトラ #WEB制作 pic.twitter.com/dUb5q8DhQ8

XSS対策した pic.twitter.com/eNs0RNYCRp

フレームワークは、おすすめしている派ですね…ベタ打ちした経験もありますけど、便利・早いというのもありますが、SQLインジェクションやXSSとかのセキュリティ対策考えると、SQLベタ打ちは怖すぎて出来なくなったりした