こんにちは、 @shogoです。
WEBアプリケーションを開発していて、気になるのがSecurityです。
Steemアプリケーション開発においては、XSS攻撃を頭に入れておいた方がよいかもしれません。
Steemブロックチェーンから投稿を取得して、動的にHTMLを生成する場合、Sanitize (HTMLタグを限定する)してあげた方が良いです。
marked.jsを利用している場合は、以下のような感じでサニタイズすることができます。
marked(result.body, {sanitize: true})
しかし、この方法だと記事の表示に必要なタグも禁止されてしまう場合があるので、新たにコードを追加します。
簡単なのは、以下のようなライブラリを使うことですね。
https://github.com/punkave/sanitize-html
Steemit.comの記事表示では、scriptタグは表示されないようになっていました。
しかしjavascriptコードを埋め込む方法は色々あるので、最低限の対策は必要そうです。
間違っている点がございましたら、教えて頂けると嬉しいです!
!sneeze 花粉症とか防げたらいいですね
花粉症はかなり辛いので防ぎたいですね :DD
@anmitsuさんは、花粉症ですか??
!SSS
Dear anmitsu, The SSS is on its way!
You have been infected by the King of Disease!
Will you quarantine yourself?
Or will you spread the plague?