Q&A
参考までに、<br>タグがエスケープされないのに、<script>がエスケープされる掲示板を教えていただけませんか?
掲示板などでJSを含むと殆どの場合エスケープされ、JSを動かせないようになりますが、
WPなどのエディタを利用する環境では、直接コードを記入し"<script></script>"を実行すると
JSが動いてしまいます。
WPでは、管理者が送信するので自ら危険なスクリプトを記述することはないと思いますが、
掲示板などでは、全ユーザが対象となってしまします。
PHPでは、送られた文字をエスケープできますが、エディタの文字(<br>など)までエスケープされてしまいます。
どうすればエディタの文字をエスケープせずに危険なスクリプトのみをエスケープできますか?
言語はPHPで組んでいますのでお教えいただきたいと思います。
文面汚くて申し訳ございません。
※現在掲示板のようにクライアントが自由に書き込めるようなサイトを作っております。
実際にクライアントがformで<br>を書いたのならばエスケープするようにしてもいいですがWPなどのエディタ上で文字を書くような場合だとエディタで自動的に"<br>"が作られてしまいます。 PHPで送られたテキスト全てに対してエスケープされるとエディタで編集した改行や文字の大きさなどの情報も一緒にエスケープされてしまいます。 実際WPのエディタで直接コードを記入するところで”<script>console.log("スクリプトが実行された");</script>”と入力するとJSが実行されているのが確認できると思います。 質問の意図としてはエディタなどで自動的にHTMLコードが記入される場合、危険なscriptなどのコードのみをエスケープする方法が知りたいのです。
それって全部エスケープしてnl2brとかでbrをphpで付与しているのだと思いますが。全部エスケープでいいような。
改行だけならいいですがその他にも<li>などのタグもあるのですべてをエスケープすると…
つまり、不特定のユーザが自由に無制限にhtmlタグを書き込めるサイトはないあまり一般的でないということですよね。お使いのteratailのようにmarkdownをサポートしてはいかがでしょうか。パーサの参考→ https://qiita.com/naga3/items/eb638d90e77fa0e1ae0b
回答3件
0
WordPress には指定したタグを残すための関数があります。
【データ検証 - WordPress Codex 日本語版】
https://wpdocs.osdn.jp/データ検証#HTML.2FXML
【WordPressで指定したタグをエスケープさせない方法 | webOpixel】
https://www.webopixel.net/wordpress/935.html
投稿2018/09/19 00:58
総合スコア69400
回答ありがとうございます。
しかし私は現在WPを使っているわけではないのでその関数は利用できません…
質問文がわかりにくくて申し訳ありません。
JSのプラグインでテキストエディタを使ったコンテンツを作りうとしているのですがその例えでWPと書かせていただきました。
実際にWPでも投稿画面でJSを記述するとJSが実行されてしまいます。
PHPへPOSTされたテキストからJSのみをエスケープする方法とかないでしょうじゃ?
> しかし私は現在WPを使っているわけではないのでその関数は利用できません…
WordPress のコードを見て、ロジックを確認することは出来ますよ。
【kses.php in tags/4.9.8/src/wp-includes – WordPress Trac】
https://core.trac.wordpress.org/browser/tags/4.9.8/src/wp-includes/kses.php#L0
0
そのような目的のためのライブラリとして HTML Purifier があります。
HTML Purifier - Filter your HTML the standards-compliant way!
投稿2018/09/19 23:52
総合スコア11701
自己解決あなたの回答
tips
プレビュー
