2Marks
例えばSQLインジェクションであれば、情報漏えいやデータ改ざんなどの危険性があるので理解できますが、XSS対策として過剰に投資する必要性に疑問を感じるのです。
データベースに保存した情報は生データのはずなのに HTML で出力する際にエスケープしないとか、SQL インジェクションと XSS は同じレイヤー上で考えなければいけない事のはず。 ウェブサイトへの攻撃とエンドユーザーへの攻撃と言う違いがあり、後者は直接運営企業に影響しないながらも「マルウェアの発信地」となってしまうような事は避けるべき。 必要性に疑問を感じることに疑問を感じる。
データベースに保存した情報は生データのはずなのに HTML で出力する際にエスケープしないとか、SQL インジェクションと XSS は同じレイヤー上で考えなければいけない事のはず。 ウェブサイトへの攻撃とエンドユーザーへの攻撃と言う違いがあり、後者は直接運営企業に影響しないながらも「マルウェアの発信地」となってしまうような事は避けるべき。 必要性に疑問を感じることに疑問を感じる。