<img src="" onerror="alert(’xss’)">
のようなデータと
<img src="sample.png">
のようなデータがあったとしまして、
JavaScriptでこのデータを画像としてブラウザに表示したいという要件の時に、
innerHTMLとかで表示しようとするとXSSだと思うのですが、
textContentで処理すると文字列として処理されてしまうので、
画像が表示されないので要件を満たせないのですが、
このような場合、どのような実装をするのが望ましいのでしょうか?
画像があったら画像を表示しつつ、XSS対策は行いたいと思っております。
みんなの回答 3 件
そこでjQuery&Ajaxの出番です
恋人が血まみれ
笑うだけのサンタクロース
不特定の文字列(特にユーザー入力を伴うもの)をそのままhtml/script化することに脆弱性(XSS)があるのであって、imgにsrcを設定して特定の場所に差し込むこと自体に問題はないでしょ。それが出来なかったら何もできないじゃん。
関連するトピックス