ようやく読み終えた。
情報処理推進機構:IPA テクニカルウォッチ:『DOM Based XSS』に関するレポート
XSS(Cross Site Scripting)にもいくつか種類があって、一番オーソドックスな Reflected XSS と
DB等に一度格納されてそれが表示される際に発生する Stored XSS 、それと今回の主題の
DOM Based XSS の3種類。
この DOM Based XSS、サーバが直接関係しない。ページ内のスクリプト、あるいはページ内で
使用されているスクリプトライブラリの欠陥で発生する。
ページ内のHTMLをスクリプトで操作する際にXSSが発生しないかどうか考慮して書かないと
いけない感じ。
どこからデータを持ってきてどこへどうデータを吐くかという点で考え方は一緒なのだが、
ちょっと慣れないかも。
document.write() は使わなくなったけど、innerHTML はまだ使うことがあるなぁ。
要注意。