>>300
もしかしてシングルクォートの話してる？

http://d.hatena.ne.jp/ockeghem/20070510/1178813849

> 私が、シングルクォート「'」もエスケープ対象に加えているのは、
> 属性値をシングルクォートで囲むケースが少なからず見受けられるからで、
> かならずダブルクォート「"」で囲むように徹底されていれば、このガイドラインは必要ありません。

まあ、あったほうがいいよね。

Underscpreはこうらしいね。　これだけやっておけば大丈夫みたい。

http://stackoverflow.com/questions/6020714/escape-html-using-jquery
There's also _.escape in Underscore, that does it like this:

// List of HTML entities for escaping.
var htmlEscapes = {
'&': '&',
'<': '<',
'>': '>',
'"': '"',
"'": ''',
'/': '/'
};

// Regex containing the keys listed immediately above.
var htmlEscaper = /[&<>"'\/]/g;

// Escape a string for HTML interpolation.
_.escape = function(string) {
return ('' + string).replace(htmlEscaper, function(match) {
return htmlEscapes[match];
});
};

訂正版はこれでいいのかな。

function escapeHTML(str) {
return str.replace(/&/g, "&").replace(/"/g, """).replace(/</g, "<").replace(/>/g, ">").replace(/'/g, "''").replace(/\//g, "'/");
}

>>300
あえてこちらには書き込まなかったのになぜこっちにコピペするんだよ

>>302
明らかに足りない
「ライブラリで使っているから大丈夫」という信者判断はいい加減に卒業しろ
しかも、「大丈夫みたい」とは何も理解してないだろ

>>304
「足りない」っていうぐらいなら
何が足りないのかいいなよ。
難癖つけてるようにしか見えないからさ

>>304
> あえてこちらには書き込まなかったのになぜこっちにコピペするんだよ

こっちの続きだから

> 明らかに足りない

じゃあ、足りない文字は何？
そいれ付け加えるだけなんだからさ

>>304
あなたよりも、徳丸さんの方を信じますよｗ

徳丸さんは / はエスケープしてないね。
たしかに要らないように思える。

仕様を読めば分かる事を一々聞くな
仕様も読めない奴が一人前な口を叩くな

この後の展開は読めてる
「知らないんだろ？じゃあ、問題ないってことだな」
煽ってもおまえに教える気は全くないがね

本当、文句だけ言って自分の意見は書かないクズはなんなんだろうな

それじゃだめ
↓
なんで？
↓
いいやだめだめ
↓
だからなんで？
↓
だめったらだめ
↓
駄目だこいつ話にならねぇｗ

仕様によると最低限のエスケープはこれだけらしい。

http://d.hatena.ne.jp/ockeghem/20070510/1178813849
> W3CのHTML4.01の仕様を見ると、～略～すなわち、最低限のエスケープだと以下のようになります。
>
> エスケープ対象項目 エスケープ対象文字
> 要素内容(一般のテキスト) 「<」、「&」
> 属性値 「"」、「>」、「&」

これ＋ブラウザのバグ対策か。

>>308
> この後の展開は読めてる
> 「知らないんだろ？じゃあ、問題ないってことだな」

普通にその通りの展開だよｗ

でも先が読めてても、対策出来てないんじゃ
片手落ちだけどね。


お前がパンチを出してくるのは読めていた！（勝ったつもり）
そしてパンチで殴られる。（笑）
先が読めてても、殴られる例。

先が読めてるくせに、その先を行けないっていうのは、
言い返せないからってことだと思うｗ

そういう反論するのはわかっていたが、
その反論の反論はできないってことだから。

なんか向こうでこういうこと言ってる奴がいるわｗ

> >>132が向こうのスレにコピペされてるんだが、誰がやったんだ？
> 迷惑だから止めてくれ

こっちの話を移動させようとしてるの見え見えだってのに
見苦しいやつだなｗ

innerHTML否定厨が完全論破されててワロタｗ

replaceの回数だけ文字列を全部読んでいてワロタｗ

>>316
ベンチマークするとそっちのほうが
速かったりするのはなんでなんだろうか？

キャッシュの関係なのかな？

ループが単純＝CPUの1次キャッシュに入りきる
ループが複雑＝CPUの1次キャッシュに入りきらない

>>288,289

固定の文字列って何？ハードコーディングって用語も知らないの？
文字列は文字列であり変数に入れようが入れまいが代わりはない
ハードコーディングされた文字列だから安全って思い込みはやめるべきだ
"<div onclick='alert(1);'>click</div>"こういうのは文字列じゃないとか抜かすなよ

＞Q. innerHTMLは絶対に使ったらダメなの？
＞A. XSSが起きるような使い方をしなければ使って問題はありません。

つまり自分でDOMで構築するよりもリスクが高い事を認めているってことだよね

お前が主張する前にもう言っただろ
innerHTMLはパフォーマンスが悪くDOMを壊す

>>303
エスケープ

var DIV = document.createElement('div');

function escapeHTML(str) {
DIV.textContent = str;
return DIV.innerHTML;
}

というやり方もあるんじゃないか？

ただし、この関数の場合
escapeHTML(str1) + escapeHTML(str2) の結果が
escapeHTML(str1 + str2)
に等しくならない場合があるブラウザがあると困るかもしれない

ちなみに逆変換はこれでいけるかな？

function unescapeHTML(htmlStr) {
DIV.innerHTML = htmlStr;
return DIV.textContent
}

innerHTMLはパフォーマンスが悪くDOMを壊す（ｷﾘｯ

世界中で使われてるのに？
jQueryにも使うなって言ってこいよ
変な宗教か何かやってるのかな？

デタお決まりのjQueryガーｗｗｗｗｗｗｗｗｗｗｗｗ

文字列操作で構築、変数部分はエスケープって一昔前に戻った感じだね

DOMを壊すって曖昧な表現だな
innerHTMLを使ってもDOMがぶっ壊れたりしないから良く分からんよ

無知がinnerHTML使うなって言ってて笑える

ごちゃごちゃとエスケープ処理を作るよりも
こういう>>319ハックのほうが個人的には好きだな

>>319
>>325
escapeの為にinnerHTMLを使うことは本当の馬鹿だからやめとけ
innerHTML否定厨よりも頭悪いぞ

>>325
賢い方法だが、テキストノードのエスケープ処理しかない点に注意
属性値のエスケープ処理を追加する必要がある

＞賢い方法だが

ブラウザの挙動すら理解できてない馬鹿が一匹沸いたな

DOMOすんません

まあ今日はポッキーでも喰って落ち着け
つ━━━一

一人で回答頑張ってる奴がいるみたいだから、このスレの回答は全てそいつ一人に任せればいいんじゃない？
そいつの認める奴だけが回答する権利を持つと言わんばかりの有り様だし

>>318
> つまり自分でDOMで構築するよりもリスクが高い事を認めているってことだよね

DOMで構築するほうがリスクが高いよ。
DOMで構築するとコードが長くなる。
コードが長くなるということはバグを入れる可能性が高くなる。
つまりバグを入れるリスクが高い。

>>331
それ、いいね。

じゃあ、君の意見に賛成する俺と
君は回答しないことにしよう。

多分君の危険に賛成しない人はいるだろう。
そういう人は回答してもいいけど、
少なくとも俺と君、この二人はもう絶対回答しないよ

>>319
DOM使ってエスケープするのは、可能といえば可能で
意外と遅くないらしいんだけど、やり過ぎだと思うよ。

仕様も実装も簡単なのに、ブラックボックスにするのがね。
あとサーバーサイドで使う時も考えると、
純粋なJavaScript（ECMAScript）の範囲にしておきたいし。

もちろん、DOMベースでやるよりも、文字列ベースのほうが
少ないメモリで実行できるので速くなる。

>>318
> "<div onclick='alert(1);'>click</div>"こういうのは文字列じゃないとか抜かすなよ

あほじゃね？ どこのアホがonclickなんて文字を書くんだよ。

そんなマヌケがいたとしたら、createElement使っても
onclick書くだろｗ

どんだけおっちょこちょいなんだｗ

論点がずれてる。

JavaScriptを文字列の中に書くのはXSSじゃない。
それは単にaddEventListnerした要素にすぎない。

問題なのは文字列の中にJavaScriptを埋め込むことではなく
文字列の中にXSSを埋め込むこと。

文字列の中にXSSを埋め込むのは相当難しい。

>>336
そのとおりですね。

俺が言いたかったのは、文字列の中にXSSを埋め込むようなおっちょこちょいは、
createElement使ってもXSSを埋め込むおっちょこちょいだろだろってことです。

俺がいいたいのは>>289のようなアホなコードを書く奴は何を書いてもXSSを起こすだろだろってことです

じゃあアホの部分を修正すればいいだけじゃんかｗ

ここはジャイアンのスレですね

ジャイアンに失礼だろ

結局また始まってんじゃん

仕方ないよ。
innerHTMLなんて、サーバーサイドのechoや
document.writeと同じで、エスケープすればいいだけの話なのに、
エスケープしなかったらXSSになるかもしれないから使うなって
意味不明なことを言ってるようなやつだからね。
頭が悪い奴はいくら言っても理解できない。

ゼビウスの開発コードネーム？

いま面白いことを言った！

ORMでデータを保存する時、
hoge.save()
のようなメソッドを発行すると思います
それによりajaxのリクエストが投げられるでしょう
しかし複数のデータを保存した場合、たとえばオブジェクトが100個あると、
100回もリクエストが発行されるのでしょうか？

>>346
フレームワークによると思うが
複数のリクエストをまとめる仕組みがあるだろう。

そういうたぐいのフレームワークについて
俺は詳しくないが、そのような仕組みを考えたことはある。
俺程度が思いつくものなのだから、普通にあると思う。

そうですか
調べてみます
ありがとうございました

>>330
チョコの方持つなよ