Q&A
> 例えばチェックの結果、以下のような部分で警告が出てきます。
> <a href="xxxx.php?sid=javascript:alert(1);&year=2019&mon=4">
この時のPHPのソースの提示をお願いします。
PHPで作成されたページで、XSS対策としてhtmlspecialcharsによるエスケープ処理はおこなったのですが、脆弱性チェックのソフトにかけたところ、それだけだとjavascript:alert()のようなケースに対応できてないようで、少し悩んでいます。
例えばチェックの結果、以下のような部分で警告が出てきます。
<a href="xxxx.php?sid=javascript:alert(1);&year=2019&mon=4">みなさまはどのように処理をされているのでしょうか?
ひとつひとつのパラメータに対して正規表現などで細かくチェックをしていくしかないでしょうか。
何か定番的な解決方法があるのであればご教示いただければと思っております。
よろしくお願いいたします。
ありがとうございます!
例に挙げた部分は抜粋すると下記のような感じです。
URLパラメータを取得してカレンダーが生成されるページです。
数種類あるセミナーごとにスケジュールが切り替わるようになっていて、GETで取得している「sid」がセミナーごとのID(アルファベット+数値)になっています。
$kidm = $_GET['sid'];
$kidm = esc($kidm);//XSS対策
$nowy = date("Y");
$nowm = date("n");
$linkhtml = <<<EOM
<ul id="monthList">
<li><a href="schedule.php?kid=$kidm&year=$nowy&mon=$nowm">今月</a></li>
……(以下略)
EOM;
esc関数は以下の通りです
function esc($a) {
return htmlspecialchars($a, ENT_QUOTES, "UTF-8");
}
よろしくお願いいたします。
ぱっと見は脆弱性でない気がしますが、alert() が起動したりしますか?
ご回答ありがとうございます。
実際にchromeで試したところはアラートは出ません。
脆弱性チェックのソフトでドバドバーとこのあたりの警告が出てきて怖くなってしまったので
対策が講じられるものなら、講じておきたいと思った次第です。
回答2件
0
すでにクローズされてますが参考まで
エスケープ処理って、本質的には「あるシステム系から別のシステム系にデータを渡す際に、渡す先で正しく理解できるデータとして渡す」ことを目的にしています。
ですので、脆弱性の有無というより、正しく動作させるために必要な処理なので、ひとつひとつ正しく渡せる方法を選択する必要があります。
今回だと「php」というシステムから「ブラウザ」へ「html(url)」を正しく渡すことが本質なので、url として正しく理解されるためにurlencode()を使用する。ということになります。
不正アクセス対策という観点だけでなく、本質からチェックするとアプリケーションとしても正しい動作を行うようになるので、ワリと重要な視点だと思います。
参考:
エスケープの必要な処理とは?
投稿2019/04/12 07:51
退会済みユーザー
総合スコア0
アドバイスありがとうございます。
そうですね、おっしゃる通りだと思います。
今回は、かなり昔に外注で作ってもらった既存のシステムの見直しで急ぎで作業をする必要があり、こんな状態になっていますが、
次のステップとして、きちんと処理をきれいにまとめていきたいと思います。
0
ベストアンサー
URL部分になるのでクエリストリングの値部分にurlencode()をかけます。
php
1echo urlencode("javascript:alert(1);"); 2//javascript%3Aalert%281%29%3B
投稿2019/04/12 06:43
総合スコア80850
あなたの回答
tips
プレビュー
