namaza https://blog.hatena.ne.jp/namaza/ 雑記 https://ytrewq.hatenablog.com/ セキュスペ 検索画面で、検索した文字列を //keywordはクエリdocument.write(keyword);や document.innerHTML=keyword; こうしてエスケープ処理せずに表示するとkeywordにscriptタグが書けるのでXSSが可能な場合がある。 安全なやり方 文字表示用のdivを作っておき、var div = document.getElementById('query_string'); createTextNode()によって、HTMLがエスケープ処理された子要素を作り、 var text_node = document.createTextNode(keywo… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fytrewq.hatenablog.com%2Fentry%2F2017%2F10%2F03%2F205321" title="DOMベースのXSS - 雑記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2017-10-03 20:53:21 rich https://ytrewq.hatenablog.com/entry/2017/10/03/205321 1.0 100%