私のホームページには、私宛にメールを送ってもらえるようにフォームメールのCGIが設置してあったのですが、クロスサイトスクリプティング(XSS)の脆弱性が気になったので、設置をとりやめて、簡単なa href=”mailto:〜 のリンクに直しました。
自分のホームページのなかにフォームメールや掲示板など動的にhtmlを吐き出すスクリプトを設置されている方は、それが最新バージョンかどうかチェックすることをお勧めします。
クロスサイトスクリクティングの脆弱性が問題視され始めたのはわりと最近なので、古いバージョンのCGIにはこの脆弱性が存在する可能性があります。下のような書き込みによって自分のサイトに悪意のあるコードを埋め込まれて、知らないうちに自分が加害者になってしまう恐れがあります。
↓
Hello message board. This is a message.
<SCRIPT>悪意あるコード</SCRIPT>
This is the end of my message.
クロスサイトスクリクティングの脆弱性を回避したきれいなコードが書けるように、サニタイジング処理について勉強する必要があると感じました。
“フォームメールをやめました。” への9件の返信
コメントは受け付けていません。
私のHPは意見箱があるのですが、これも危ないのでしょうか。
何か心配になってきました。
最近はほんとに怖いです。
知らず知らずの内に犯罪者?Σ(口`;ノ)ノキャー
はじめさん>
閲覧者が書き込んだ内容を反映したhtmlを吐き出すページでは、
クロスサイトスプリクティング(XSS)の脆弱性に注意する必要があります。
サンプルCGIがバージョンアップされていたら、
それはきっとXSSを回避するためのバージョンアップでしょう。
最新のものを使うほうがいいです。
何も知らないし、出来ないのでσ(^_^)アタシは加害者にはならないでしょ~
では、済まないんだね(● ̄▽ ̄●;)ゞぽりぽり
OCNから、「自宅の電話番号がオレオレ詐欺に引っかかることが多くなってきているので050からはじまる電話番号を持ちなさい」と宣伝の電話が入りました。そんなこと聞いたことがないけど、電話番号でオレオレ詐欺に引っかかるものでしょうか?
これですね。
↓
http://506506.ntt.com/ipphone/anshin/index.html
ネットで買い物するときなどに、
自宅やケータイの電話番号ではなく、
050で始まる番号を書きます。
ほほう、私もフォームを使っていますが。
こんなことがあるのですねえ。
チェックせねば。
貴重な助言、ありがとうございます。
ヤフーだったら、無料でもらえる050番号だと思うのですが、何でもお金が必要なOCNなのですね^^;