質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.22%

XSSでのエスケープについて

解決済

回答 2

投稿

  • 評価
  • クリップ 1
  • VIEW 186

t-hoso

score 9

PHPで作成されたページで、XSS対策としてhtmlspecialcharsによるエスケープ処理はおこなったのですが、脆弱性チェックのソフトにかけたところ、それだけだとjavascript:alert()のようなケースに対応できてないようで、少し悩んでいます。

例えばチェックの結果、以下のような部分で警告が出てきます。

<a href="xxxx.php?sid=javascript:alert(1);&year=2019&mon=4">

みなさまはどのように処理をされているのでしょうか?

ひとつひとつのパラメータに対して正規表現などで細かくチェックをしていくしかないでしょうか。

何か定番的な解決方法があるのであればご教示いただければと思っております。

よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • tanat

    2019/04/12 15:42

    > 例えばチェックの結果、以下のような部分で警告が出てきます。
    > <a href="xxxx.php?sid=javascript:alert(1);&year=2019&mon=4">

    この時のPHPのソースの提示をお願いします。

    キャンセル

  • t-hoso

    2019/04/12 16:01

    ありがとうございます!
    例に挙げた部分は抜粋すると下記のような感じです。
    URLパラメータを取得してカレンダーが生成されるページです。
    数種類あるセミナーごとにスケジュールが切り替わるようになっていて、GETで取得している「sid」がセミナーごとのID(アルファベット+数値)になっています。

    $kidm = $_GET['sid'];
    $kidm = esc($kidm);//XSS対策

    $nowy = date("Y");
    $nowm = date("n");

    $linkhtml = <<<EOM
    <ul id="monthList">
    <li><a href="schedule.php?kid=$kidm&year=$nowy&mon=$nowm">今月</a></li>
    ……(以下略)
    EOM;

    esc関数は以下の通りです
    function esc($a) {
    return htmlspecialchars($a, ENT_QUOTES, "UTF-8");
    }

    よろしくお願いいたします。

    キャンセル

  • ockeghem

    2019/04/12 16:07 編集

    ぱっと見は脆弱性でない気がしますが、alert() が起動したりしますか?

    キャンセル

  • t-hoso

    2019/04/12 16:13

    ご回答ありがとうございます。
    実際にchromeで試したところはアラートは出ません。
    脆弱性チェックのソフトでドバドバーとこのあたりの警告が出てきて怖くなってしまったので
    対策が講じられるものなら、講じておきたいと思った次第です。

    キャンセル

回答 2

checkベストアンサー

+2

URL部分になるのでクエリストリングの値部分にurlencode()をかけます。

echo urlencode("javascript:alert(1);");
//javascript%3Aalert%281%29%3B

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/04/12 16:07

    ありがとうございます!
    恥ずかしながらurlencodeは初めて知りました。

    ぴったりな回答でした。
    本当に助かりました。ありがとうございます!

    キャンセル

  • 2019/04/12 16:19

    urlエンコードも確かに必須ですが、パラメータ受け取った先でhtmlエスケープするのも忘れないようにしてくださいね

    キャンセル

  • 2019/04/12 16:42

    ありがとうございます。
    そちらはとても気を付けているつもりですが、再度見直してみます!

    キャンセル

+2

すでにクローズされてますが参考まで

エスケープ処理って、本質的には「あるシステム系から別のシステム系にデータを渡す際に、渡す先で正しく理解できるデータとして渡す」ことを目的にしています。

ですので、脆弱性の有無というより、正しく動作させるために必要な処理なので、ひとつひとつ正しく渡せる方法を選択する必要があります。

今回だと「php」というシステムから「ブラウザ」へ「html(url)」を正しく渡すことが本質なので、url として正しく理解されるためにurlencode()を使用する。ということになります。

不正アクセス対策という観点だけでなく、本質からチェックするとアプリケーションとしても正しい動作を行うようになるので、ワリと重要な視点だと思います。

参考:
エスケープの必要な処理とは?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/04/12 17:07

    アドバイスありがとうございます。
    そうですね、おっしゃる通りだと思います。

    今回は、かなり昔に外注で作ってもらった既存のシステムの見直しで急ぎで作業をする必要があり、こんな状態になっていますが、
    次のステップとして、きちんと処理をきれいにまとめていきたいと思います。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.22%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る