んー
「関連記事」から。
http://itpro.nikkeibp.co.jp/article/COLUMN/20060724/244156/
次のうちクロスサイト・スクリプティングの説明として間違っているものはどれでしょう? 1. Webやメールのリンクをクリックしたときに受ける攻撃である 2. リンクに予期せぬスクリプト・コードが埋め込まれている攻撃である 3. 静的コンテンツと動的コンテンツのどちらのWebサイトにも危険性がある 4. 抜本的な対策はWebサイトの管理者が事前に対処しておくことである |
('A`)問題がおかしい
1. Webやメールのリンクをクリックしたときに受ける攻撃である
まちがい。ページを開いただけでアウトなこともある。onload なイベントで Form[0].submit するとか。onmouseover とかならクリックする前だし。
2. リンクに予期せぬスクリプト・コードが埋め込まれている攻撃である
まちがい。フォームだったりすることもある。
3. 静的コンテンツと動的コンテンツのどちらのWebサイトにも危険性がある
まちがい。静的コンテンツ(常に同一の内容を返す)なら入力を反映しないから XSS に関しては大丈夫。
4. 抜本的な対策はWebサイトの管理者が事前に対処しておくことである
正しい。っていうか開発時に正しい出力を行えるようにまっとうなコーディングすることなんだけどな。
1〜3のどれを選んでも正解のはず。なのに正解は3だけ。
・・・・・・('A`)