投稿2018/07/25 12:41
以下のようなデータをサイト内で埋め込んだリッチテキストエディタで入力して値を受け取ります。
php
1<!--ユーザー入力データ--> 2<?php 3$hoge='p>スポーツで<u style="background-color: rgb(255, 255, 0);">人気がある</u>のはどっちなのでしょうか?</p>' 4?>
これを出力する際にXSS対策するために以下のように出力します
php
1<?php 2echo htmlspecialchars($hoge, ENT_QUOTES, 'UTF-8') 3?>
すると特殊文字は当然エスケープされるため、html上は以下のように扱われます。
html
1<p>スポーツで<u style="background-color: rgb(255, 255, 0);">人気がある</u>のはどっちなのでしょうか?</p
これではリッチテキストで書式等を指定してユーザーから入力してもらっている意味がないのですが
ユーザー入力データの書式(タグや属性)を活かしつつ、無害化する術はあるのでしょうか?
よろしくお願い致します。
回答2件
0
ベストアンサー
HTMLタグをそのまま受け取るのはタグの無効化の手順も含めて複雑化するので、teratailもそうだけど独自のタグを設けてそれ以外は適用させないのが一番安全で簡単
タグは独自にしても内容を解釈しないで出したりすると危ないけどね
[p style="background-color:#000;"></p><script src=""></script>"][/p]
styleなんかの属性をそのまま受け取るのは自殺行為としか言えないと思う
属性も含めたタグは単機能化と細分化で特定の機能に制限した方がいい
[p][color,255,0,0]赤色[/color][underline]下線[/underline][/p]
色指定とか難しい所だけど、数値指定の所に数値以外の物が入れられる様にしてしまうと穴になるし
ぶっちゃけ、色に関しては利用者側に指定させる必要が本当にあるのかという話になっちゃう気もする、太字とか若干文字を大きくするとかは表現としてあっても良いけど、背景が白だったサイトを背景を黒にイメージチェンジをするかもしれないし、そうした時に見づらくなったり見えなくなったりする可能性がある
投稿2018/07/25 18:35
総合スコア422
0
とりあえずやらないよりましでsprit_tagsで許可したタグ以外受け付けないようにする
当該ページにも書かれてるけど、これでは危険な属性値を取り除けないので
そこは別に何らかの処理をしないといけない
on~の属性値を取り除くのは前提として、styleは許容しなくてはならないなら、
せめてその中身は特定の指定しか受け付けないように厳重に検証
投稿2018/07/26 00:44
総合スコア7804
あなたの回答
tips
プレビュー
Q&A
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/07/28 08:32
2018/07/28 11:15
2018/07/28 13:42