XSS対策

XSSというか、ブラウザから受け取ったデータの処理方法の話だ。

URLEncoder

ブラウザから受け取ったデータをHTML内のURL部分に書き出すのなら

java.net.URLEncoder.encode()

を使えばよさそうだ。encode()は引数にエンコーディングを指定するのだがこれを何にしたらいいのかをちゃんと理解できていない。調べないと。

参考：

• http://www.microsoft.com/japan/msdn/columns/secure/secure07152002.asp

PreparedStatement

ブラウザから受け取ったデータをSQLに埋め込むのなら、

java.sql.Connection.prepareStatement()

を使うしか解がなさそう。ほかには安全そうな手法見当たらない。?と書くパラメータ部分をプレースホルダと言うのかな。

参考：

• http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01.html

大量データ

ブラウザ（というかクライアント）から送られてくるデータ量に制限をつけたいときはどうすればいいのだろう。ウェブサーバやServletコンテナにて制限できるのだろうなあ。調べないと。

[ただのメモ]