6.2. 一般的な Web サーバーの脆弱性の理解
この章では、一般的な Web サーバーの脆弱性を軽減する方法を説明します。
6.2.1. クロスサイトスクリプティング (XSS)
OpenStack Dashboard はカスタマイズ可能で、ほとんどのフィールドで全 Unicode 文字セットを使用できます。この拡張性により、クロスサイトスクリプティング (XSS) の脆弱性が導入される可能性があります。horizon には、開発者が XSS の脆弱性を誤って作成するのを防ぎ、開発者が正しく使用している場合に限り機能するようにするためのツールが含まれています。カスタムダッシュボードを監査し、以下の機能に特に注意してください。
-
mark_safe
関数 -
is_safe
: カスタムテンプレートタグと共に使用する場合 -
safe
テンプレートタグ - 自動エスケープがオフで、不適切にエスケープされたデータを評価する可能性のある JavaScript の場合