Welcome to touyou note!!

こんにちは。touyouです。touyou noteは、creativeな人間を志すちっぽけな学生が様々なことに体当たりするブログです。
どうぞお楽しみ下さい。

Twitter: @touyoubuntu
HomePage: TOUYOUBUNTU

検索用ワード

PC Linux Windows Cygwin Android Python Java C/C++ C# HTML Processing Lisp Perl Arduino Japanino Unity Google TopCorder Codeforces Vim Emacs Github PSP Gundam Soccer Mobile Dialy Study Music ...

2011年4月1日金曜日

災害ったーの脆弱性を改善

こんにちは。

今回、@hiromu1996さんから脆弱性の報告をいただき、修正いたしました。


解決策も明示していただいたんですが、なんかいろいろと苦難のみちでした(;´Д`)

では続きから。。。



まず、脆弱性というのがXSS対策を全くされていなかったこと。

災害ったーの主機能は掲示板ですが、このおかげでどんなJavaScriptコードなども実行できてしまうという・・・


さて、いろいろとGAEでは対策用のアプリなどがあるのですが、まぁバグでまくったので、結局単純にHTMLをサニタイズしました。
<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>  
...
<blockquote><c:out value="<%= g.getContent() %>" /></blockquote>
あくまでゲストブックの発展としての例。

コード全体は公式チュートリアルを参照してください。


そして、いろいろ苦戦したTwitter4j+GAEでしたが、やっと実現しました。

まぁここらへんはコチラを参照。


あとは利用おねがいします♪→http://saigaitta-web.appspot.com/

0 件のコメント:

コメントを投稿