8.2. コメントはいれない

情報を返す時には、情報を受け取るユーザにコメントを見せてもよいと望んでいない 限りは、「コメント」を入れてはいけません。 ファイル(HTML のような)を作成する Web アプリケーションにこの問題は顕著です。 Web アプリケーションのプログラマは、自分の作品にコメントを入れたがり(これは 良いことです)ますが、コード中にただコメントを残すだけでなく、作成したファイル (普通は HTML か XML)の一部として含めます。それがユーザに返されます。 このコメントが時にそのシステムがどのように動作しているかを見抜く手段を提供 し、攻撃者を助けることになります。