Hello guys!

 

ソースコードを見ると。

何もする必要はないだとか。

クライアントサイドで保護されるので。

と、なんとも不親切なコメントでして。

 

 

DOMベースの場合は、他のタイプのXSSとは違って。

ページに悪意のあるスクリプトは埋め込まれておらず。

『#』が使用されているとスクリプトはサーバに到達せず。

フラグメントとみなされるので、ブラウザは転送しないので。

サーバサイドの攻撃検出ツールでは検出できず。

 

なので、DOMベースのXSSを防御するには。

『<div>』タグに書き込む際、『innerHtml』を使用せずに。

代わりに『innerText / textContent』を使用したりと。

不適切なページが提供されるのを防ぐことができるよう。

侵入防止システムを使用したりと。

 

Best regards,