夢追い人

"It takes a dreamer to make a dream come true."―Vincent Willem van Gogh

災害ったーの脆弱性を改善

こんにちは。

今回、@hiromu1996さんから脆弱性の報告をいただき、修正いたしました。


解決策も明示していただいたんですが、なんかいろいろと苦難のみちでした(;´Д`)

では続きから。。。



まず、脆弱性というのがXSS対策を全くされていなかったこと。

災害ったーの主機能は掲示板ですが、このおかげでどんなJavaScriptコードなども実行できてしまうという・・・


さて、いろいろとGAEでは対策用のアプリなどがあるのですが、まぁバグでまくったので、結局単純にHTMLをサニタイズしました。
<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>  
...

あくまでゲストブックの発展としての例。

コード全体は公式チュートリアルを参照してください。


そして、いろいろ苦戦したTwitter4j+GAEでしたが、やっと実現しました。

まぁここらへんはコチラを参照。


あとは利用おねがいします♪→http://saigaitta-web.appspot.com/