14.4. クロスサイトスクリプティング (XSS)
OpenStack ダッシュボードは、ほとんどのフィールドで Unicode 文字セット全体を受け入れます。悪意のある攻撃者は、この拡張性を利用して、クロスサイトスクリプティング (XSS) の脆弱性をテストしようとする可能性があります。OpenStack Dashboard サービス (horizon) には、XSS の脆弱性を強化するツールがあります。カスタムダッシュボードでこれらのツールを正しく使用することが重要です。カスタムダッシュボードに対して監査を実行する場合は、次の点に注意してください。
-
mark_safe
関数 -
is_safe
: カスタムテンプレートタグと共に使用する場合 -
safe
テンプレートタグ - 自動エスケープがオフで、不適切にエスケープされたデータを評価する可能性のある JavaScript の場合