Q&A
後続処理がわかりませんが、出力時にエスケープすればいいだけのことで、スクリプトかどうかは見る必要がないのではないでしょうか?
現在タイトルを入力し、コンテンツを作成するというものを作成しているのですが、
タイトルにscript文を入力するとscript文が起動してしまいます。
例:
上記のinput type="text"にscript文を入力するとそのscript文が実行されてしまうのですが入力された文字がscript文かどうかという判定は可能でしょうか?
回答4件
0
ベストアンサー
そういうチェックは普通はしません。
実行されるのは、HTMLとして出力したときだと思います。
何らかのデータをHTMLとして出力するときは、かならず、<⇒<、>⇒>、&⇒&などへの置き換えを行ってから出力します。
それぞれのプログラミング言語(ないし、フレームワーク)で、そういう処理をしてくれる関数があらかじめ用意されていますので、出力する直前でその関数を通します。
これで、<script>は、<script>と出力されるので、スクリプトが実行される事はありません。
このほかにも一般的なセキュリティ対策がありますので、入門書などを読んでください。
あるいは、こういうドキュメントもあります。
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
投稿2019/03/01 03:44
編集2019/03/01 04:12
総合スコア84555
0
ユーザー入力情報やDBから取得した情報はhtmlエスケープするのが通例です。
いわゆるXSS対策ですね。
投稿2019/03/01 03:30
総合スコア80850
0
JavaScriptでユーザー入力した文字列をHTMLの中身として取り込む場合、生DOMであれば.textContent、jQueryであれば.text()を使いましょう。これらの方法では、与えられたものはすべて文字列として解釈されますので、HTMLが混入していても何も起きません。
HTML入力を受け付けたい場合は、専用のフィルタリングライブラリを用意することをおすすめします。
投稿2019/03/01 04:30
総合スコア145184
あなたの回答
tips
プレビュー
