構造化テキストを文字列結合・置換しない
プログラミングの原則:構造化テキストを文字列結合で作らない、置換でいじらない - Uzabase for Engineers
<a href="...">を文字列結合でつくってXSSバグを埋め込んだことがあるので全面的に同意。
フロントエンドにおいては以下のようなな機能を使うと良さそう。
- URLSearchParams
- CSSStyleSheet
プログラミングの原則:構造化テキストを文字列結合で作らない、置換でいじらない - Uzabase for Engineers
<a href="...">を文字列結合でつくってXSSバグを埋め込んだことがあるので全面的に同意。
フロントエンドにおいては以下のようなな機能を使うと良さそう。