災害ったーの脆弱性を改善
こんにちは。
今回、@hiromu1996さんから脆弱性の報告をいただき、修正いたしました。
解決策も明示していただいたんですが、なんかいろいろと苦難のみちでした(;´Д`)
では続きから。。。
まず、脆弱性というのがXSS対策を全くされていなかったこと。
災害ったーの主機能は掲示板ですが、このおかげでどんなJavaScriptコードなども実行できてしまうという・・・
さて、いろいろとGAEでは対策用のアプリなどがあるのですが、まぁバグでまくったので、結局単純にHTMLをサニタイズしました。
コード全体は公式チュートリアルを参照してください。
そして、いろいろ苦戦したTwitter4j+GAEでしたが、やっと実現しました。
まぁここらへんはコチラを参照。
あとは利用おねがいします♪→http://saigaitta-web.appspot.com/
今回、@hiromu1996さんから脆弱性の報告をいただき、修正いたしました。
解決策も明示していただいたんですが、なんかいろいろと苦難のみちでした(;´Д`)
では続きから。。。
まず、脆弱性というのがXSS対策を全くされていなかったこと。
災害ったーの主機能は掲示板ですが、このおかげでどんなJavaScriptコードなども実行できてしまうという・・・
さて、いろいろとGAEでは対策用のアプリなどがあるのですが、まぁバグでまくったので、結局単純にHTMLをサニタイズしました。
<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>あくまでゲストブックの発展としての例。
...
コード全体は公式チュートリアルを参照してください。
そして、いろいろ苦戦したTwitter4j+GAEでしたが、やっと実現しました。
まぁここらへんはコチラを参照。
あとは利用おねがいします♪→http://saigaitta-web.appspot.com/