XSSというか、ブラウザから受け取ったデータの処理方法の話だ。

!!!URLEncoder
ブラウザから受け取ったデータをHTML内のURL部分に書き出すのなら
 java.net.URLEncoder.encode()
を使えばよさそうだ。
encode()は引数にエンコーディングを指定するのだがこれを何にしたらいいのかをちゃんと理解できていない。調べないと。

参考：
*http://www.microsoft.com/japan/msdn/columns/secure/secure07152002.asp

!!!PreparedStatement
ブラウザから受け取ったデータをSQLに埋め込むのなら、
 java.sql.Connection.prepareStatement()
を使うしか解がなさそう。ほかには安全そうな手法見当たらない。?と書くパラメータ部分をプレースホルダと言うのかな。

参考：
*http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01.html

!!!大量データ
ブラウザ（というかクライアント）から送られてくるデータ量に制限をつけたいときはどうすればいいのだろう。ウェブサーバやServletコンテナにて制限できるのだろうなあ。調べないと。

{{comment}}
{{category ただのメモ}}