Re: 平成24年度春期情報セキュリティスペシャリスト試験のXSS問題 / 単引用符のエスケープだけではだめな場合

EscapeTest.java

public class EscapeTest {
    protected static String escape(String word) {
        return word.replaceAll("'", "\\u0027"); // '等のエスケープは省略
    }

    public static void main(String [] args) {
        String word = "\" onmouseover=\"alert(document.cookie)\" onmousedown=\"";
          
        System.out.println("<a name=\"#\" onclick=\"alert('" + escape(word) + "')\">");
        System.out.println("previous search word");
        System.out.println("</a>");
    }
}