このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

会議室(掲示板)におけるタグの扱いについて

発言者:田中求之
( Date Friday, February 04, 2000 20:47:34 )


この会議室では、発言中に埋め込まれたタグはすべて無効になるように
設定してあります。

これは、基本的には、タグの書き間違いによってフォーマットなどが乱れる
のを防ぐということと、スクリプトや HTML の話題を扱う場合に、いちいち
エスケープ・シーケンスで書くのは面倒だという理由なのですが、最近では
セキュリティ対策という意味もあります。

このセキュリティ対策の点について、すでに色々なサイトでニュースとして
流れているように、CERT から注意が発せられています。

ちょっと読みにくい英語なんですが(堅い英語)、ようは <SCRIPT>, <APPLET>
<EMBED> などのタグが埋め込まれた書き込みを、そのまま掲示する(タグを
通す)ような場合、アクセスしたユーザーに被害を与える可能性があるので
注意するようにということです。

会議室(掲示板)を運営している方は、タグを認めている場合であっても
<SCRIPT> などは通さないようにするといった策を講じたほうがよいでしょうね。

個人的な考えでは、このような会議室では、タグを通さないのが一番だと
考えていますが…

田中求之 さんからのコメント
( Friday, February 04, 2000 20:48:38 )

CERT 該当ページです

→  Malicious HTML Tags Embedded in Client Web Requests