• 一部のタグを許容してHTMLを組み立てる3つの場面
• サーバ側でHTML断片となる文字列を生成し，ブラウザ上でHTML内に流し込む
• あらかじめ定まった構造のHTMLをJavaScriptにて生成し，その一部にデータを当てはめる
• ユーザーからの入力に基づき，自由にHTMLを生成する

2016年11月29日

• document.write／document.writeln～できるだけ使わず，代替手段を利用する
• eval～現在のブラウザならJSON.parseを利用する
• setTimeout／setInterval～引数では文字列ではなく関数を渡すようにする
• Function～引数にコントロール可能な文字列が渡らないようにする
• jQuery()／$()／$.html()～自分で書くときより挙動が見えにくくなるのでいっそう注意を

2016年11月16日

• DOM-based XSSとは
• DOM-based XSSが厄介な理由
• DOM-based XSSの原因 ～シンクとソース
• DOM-based XSSを防ぐための3つの基本原則

2016年10月14日

• locationオブジェクト
• URLオブジェクト
• IEへの対応
• hrefプロパティに相対URLを設定したときに，href以外の各プロパティが正しく取得できない問題を解決する
• まとめ

2016年9月21日

• URLは想像以上に複雑なもの
• オリジンを利用してデータを保護する

2016年7月26日

• CSRF（クロスサイトリクエストフォージェリ）
• オープンリダイレクト
• クリックジャッキング
• Webセキュリティのおさらい まとめ

2016年7月13日

• XSSはどのようにして引き起こされるのか
• 反射型XSSと蓄積型XSS

2016年6月28日

• はじめに
• 能動的攻撃と受動的攻撃
• Webアプリケーションで代表的な4つの受動的攻撃

2016年6月14日