IE向けXSS対策
IE7で少し知られているかも知れませんが、IEのmhtml:に関するXSS(クロスサイトスクリプティング)は、
HTMLファイルに改行のみの行が含まれていると、それ以降の行が取得出来ますから、
改行のみの行を消すというのも1つの対策になると思います。
(IE6で確認。ただし個人で確認しているだけなので、それほど確実性はありません。)
index.html
<html>
<head>
<title>index</title>
</head>
<body>
<form><input type="password" name="password" value="xxxx">
<input type="submit" name="login" value="Login"></p>
</body>
</html>
たとえばパスワードを自動入力しているログインフォームなどは、
フォームより上に改行のみの行があるので、パスワードが取得される。
<html>
<head>
<title>index</title>
</head>
<body>
<form><input type="password" name="password" value="xxxx">
<input type="submit" name="login" value="Login"></p>
</body>
</html>
このようにするだけでセキュリティーが上がると思われます。
(<html>の上に改行のみの行がないこと。Content-typeヘッダなどの終了行は除く)
