hiddenの値に対するXSS対策が行えていなかった

[問題]
リクエストを送信する際、hiddenで宣言している値をfiddlerJavaScriptのコードに書き換えた。
また、他の必須入力項目を空にして業務エラーを発生させた。
その後、エラー画面に戻ってきた際にポップアップが上がってしまった。

[原因]
hiddenの値を出力する際に値のサニタイジングが行えていなかった為。

[対応]
案1 出力する値をサニタイジングする。
案2 hiddenの値を送信する際、前回の値と同じかどうか突合せをする。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践