Hello guys!
ソースコードを見ると。
何もする必要はないだとか。
クライアントサイドで保護されるので。
と、なんとも不親切なコメントでして。
DOMベースの場合は、他のタイプのXSSとは違って。
ページに悪意のあるスクリプトは埋め込まれておらず。
『#』が使用されているとスクリプトはサーバに到達せず。
フラグメントとみなされるので、ブラウザは転送しないので。
サーバサイドの攻撃検出ツールでは検出できず。
なので、DOMベースのXSSを防御するには。
『<div>』タグに書き込む際、『innerHtml』を使用せずに。
代わりに『innerText / textContent』を使用したりと。
不適切なページが提供されるのを防ぐことができるよう。
侵入防止システムを使用したりと。
Best regards,