Q&A
本質的なところを知ることができました。勉強させていただきます、ありがとうございます!
XSS対策について勉強していて疑問が湧いてきたのでご教授願います。
フォームから受け取ってすぐに表示する場合
DBに登録後、取り出して表示する場合
わかっていること
DB登録する前はエスケープせず、取り出して表示する時にエスケープする。
わからないこと
DBから取り出すデータがエスケープが必要かどうかどのようにして見分けるのでしょうか?
DBから取り出したデータは表示前にすべてエスケープすれば安心でしょうか?よろしくお願いします。
回答4件
0
基本的に外から受け取ったものはすべて汚染されているという前提でエスケープして表示します。
またDBから呼び出したものも何が収納されているかわからないので原則エスケープします。
逆に外から受け取ったものをDBに投入するときはなるべく生のデータのまま処理します
投稿2018/12/04 10:45
総合スコア114777
0
ベストアンサー
一般的には
・text/plain で保存して text/html で表示したい
という要件に従って実装するため、表示の際にエスケープ処理を行います。
*本質はXSS対策のためではありません。副次的に対策になるというのが正しいです。
稀に上記の要件以外の場面に出くわすので、何のために必要なのかを以下の記事を参考に理解すると良いです。
投稿2018/12/04 12:09
編集2018/12/04 12:53
退会済みユーザー
総合スコア0
0
DBから取り出すデータがエスケープが必要かどうかどのようにして見分けるのでしょうか?
原則全てエスケープすべきものですが、本来は「設計」によるものです。
中にはhtmlタグの入力をOKとして登録するコンテンツもなくはないです。
でもそれは「このタグを使っている」という制限をするなどして何かしらの対応はしているものです。
そういうものについてはそのタグに限ってはエスケープしないように対応することもないわけではないです。
(できれば置換しておいて全体エスケープ後に戻すなどの対応が望ましい)
つまり、「見分ける」と仰っている時点で「何が入っているかわからない」前提なので
考えるまでもなくエスケープしてください。
投稿2018/12/04 11:18
総合スコア80850
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/12/05 02:23