ITmedia エンタープライズ:公開禁止の危険な攻撃ツールが流出?
XHR経由でHTMLを取得し、リンク対象を順次XSSしないか検査するタイプのJiktoのようなツールに対しては、とりあえずページ内のリンクを全てJavaScriptで動的に生成するようにしておけば、それ以上XSSを突かれなくて済むように思いますた。
document.write( '<a href="' + url + '">' + title + '</a>' );
XHR経由でHTMLを取得し、リンク対象を順次XSSしないか検査するタイプのJiktoのようなツールに対しては、とりあえずページ内のリンクを全てJavaScriptで動的に生成するようにしておけば、それ以上XSSを突かれなくて済むように思いますた。
document.write( '<a href="' + url + '">' + title + '</a>' );