XSSの対処はこれだけと思わないように注意です。

ITProの記事は、毎日のようにつまみ食いしているわけですが、ちょっと気になった記事があったので紹介します。
参考:Apacheサーバー構築法 - 第13回 クロスサイト・スクリプティングに対処する:ITpro
まずは、ざっと読んでみてください。
どうでしょうか?

・・・なんていうか、どこでもいいので
「これは、XSSのごく一部の例です。他にも攻撃パターンはあります。」
みたいな記述を入れて欲しいですね。
ツッコミどころは、たくさんあるのですが・・・

同様に表1で示した文字についても置換します。これで,XSSの影響を受けなくなります。

うーん・・・本当にこの締めくくりでいいのでしょうか?
これだけで良いのなら、18問も問題が作れたりしませんよね。

僕が、よくプログラマーに聞かれるのは
XSSの仕組みはわかるんですけれど、それが何故危険なのかわかりません」
って感じのものです。
いろんなところに「Cookieが盗まれる」だの「情報漏えいに繋がる」だの書かれていますが、イマイチわかりにくいんですよね。
まぁ、そういう質問をしてくる人は、まだましです。
「とりあえず、<>とかを変換しときゃいいんでしょ?」
って思っている人が、大勢いるんですよ。。。
そんな人たちが、上の記事を読んだらどう思うでしょうか?
「あ、これだけでいいんだね。」
って思っちゃうでしょう。。。

どんな記事でもそうですが、
「これだけじゃない。もっと他に考え方があるはず」
と思いながら読んでいこうと、再認識させられた記事でした。