利用者の入力によって実行されるサイトにスクリプトを送り込み実行させる。
<対策>
・HTML を出力する時にhtmlspecialchars( “入力値”, ENT_QUOTES, “文字コード”) のような関数を利用し、スクリプトに利用さえる文字を無効化する。
・タグの属性値は必ず 「”」 (ダブルクオート)で括る。
・入力値を制限する。
<例>
& → &
< → <
> → >
” → "
利用者の入力によって実行されるサイトにスクリプトを送り込み実行させる。
<対策>
・HTML を出力する時にhtmlspecialchars( “入力値”, ENT_QUOTES, “文字コード”) のような関数を利用し、スクリプトに利用さえる文字を無効化する。
・タグの属性値は必ず 「”」 (ダブルクオート)で括る。
・入力値を制限する。
<例>
& → &
< → <
> → >
” → "