窓の杜

XSS攻撃の温床「innerHTML」はもう終わり、「Firefox 148」に「setHTML ...

しかし、HTML要素の読み取り・書き込みを行う「innerHTML」プロパティには無毒化処理を実施する機能がなく、プログラマーが自分で処理を書く必要があった。 そのため、無毒化処理にどうしても漏れが生じ、XSS脆弱性の温床となってしまっているのが現実だ。
note

DOMを破壊するinnerHTMLより、insertAdjacentHTML() を使おう

JavaScriptで、既存のリストやコンテナに新しくHTML要素を追加したいとき。 このように書いていませんか? // 既存の要素の ...
note

【ホワイトハッカー入門】innerHTMLの危険性とXSS(クロスサイト ...

Webサイトに動きをつけるJavaScript。 その中でも、画面の文字やHTMLを動的に書き換えるのに便利なのが innerHTML というプロパティです。 しかし、この innerHTML、使い方を一歩間違えると、あなたのサイトがサイバー攻撃の標的になってしまう危険性を秘めている ...
CodeZine(コードジン)

デスクトップCGIにinnerHTMLを使ったAjaxを導入する

Developers Summit 2026・Dev x PM Day 講演資料まとめ Developers Boost 2025 講演資料まとめ Developers X Summit 2025 講演資料まとめ Developers Summit 2025 FUKUOKA 講演関連資料まとめ Developers Summit 2025 KANSAI 講演関連資料まとめ Developers ...
技術評論社

第6回 DOM-based XSS その 1

JavaScriptによるブラウザ上での処理量およびコード量の増加に伴い、 JavaScript上のバグが原因で発生する脆弱性も増加しています。そのような脆弱性の最も代表的なものが、 DOM-based XSSです。今回から数回に分けて、 DOM-based XSSについて説明していきます。
GitHub

Grid.js formatter uses innerHTML by default, facilitating injection vulnerabilities

Grid.js lines 236 - 237: td.innerHTML = typeof formatter === 'string' && formatterScope ? formatterScope[formatter](value, object) : this.formatter(value, object); The code above makes it easy for ...
GitHub

shadowRoot.innerHTML parsing elements from another realm/iframe

This happens when shadowRoot.innerHTML renders native elements from the one document while rendering custom elements from the current document. This behavior differs between Chrome and other browsers.