CubaseとSytrusの相性悪すぎません?
あんまり冗談で「あれもソースコードでできてる」とか騒ぎすぎると頭おかしい人が「なら全部規制しちゃえ」とか大声で騒ぎはじめて日本のIT全滅するから控えたい
RailsにもCSRF対策は標準でついてくるし、CakePHPにもそういうのついてると思うけど…… まさかformタグ直書きしてはいまいだろうな
性善説とか性悪説以前の問題で、要は致命的な穴を作らなきゃいい。サイト内に自由にHTML書ける場所作るならリファラチェックや、固定トークンによるCSRF対策は効かないので、ワンタイムトークンで対策すべし
<span style="color: expression(({alert('Hoge'); return '#000';}())())"></style>みたいなの
@b2 それが問題になるのってきちっと渡された入力値をバリデーションしてない場合か、値を渡すクライアントがゲームとかの形になってる(ネットランキングのハイスコア登録とか)場合だけじゃないですか