セキュリティ対策
- クロスサイトスクリプティング(XSS)
- XSSの詳細はこちら
- 対策
- strutsを用いる場合、bean:writeタグなどはデフォルトで<>&などはエスケープしてくれるので問題ない。
- 入力値がそのまま表示されるような場合は<>&など全てエスケープ処理をいれる対応をすればよい。
- テキストボックスなど直接的な入力値だけではなく、ラジオやhiddenなどもパラメータ改ざんできるため、出来うるか限りエスケープ処理をいれる。
以下のようなコードを入力値に加える
String str = hoge();
str = str.replaceAll("&", "&amp;");
str = str.replaceAll("<", "&lt;");
str = str.replaceAll(">", "&gt; ");
パフォーマンス
- Stringクラスの連結について
- StringBufferとStringBulder
- コネクション、resultsetの開発時
- よくある書き間違い
最終更新:2008年06月25日 15:44