teratail
回答率
85.36%
teratail header banner
teratail header banner
質問するログイン新規登録

🎄teratailクリスマスプレゼントキャンペーン2024🎄』開催中!

\teratail特別グッズやAmazonギフトカード最大2,000円分が当たる!/

詳細はこちら
トップWYSIWYGに関する質問
WYSIWYG

WYSIWYGとは、ディスプレイに表示されたものが見た通りの状態でプリンターなどに出力できる技術、およびその概念です。HTMLがなくても容易にWebページのレイアウトなどができます。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

エスケープ処理

エスケープ処理とは、一連の文字や一文字に対して、一定の規則に従って別の意味を適用する処理過程です。

Laravel 5

Laravel 5は、PHPフレームワークLaravelの最新バージョンで、2014年11月に発表予定です。ディレクトリ構造がが現行版より大幅に変更されるほか、メソッドインジェクションやFormRequestの利用が可能になります。

Q&A

解決済

3回答

3843閲覧

ユーザの入力内容に含まれるhtmlタグを適切に処理したい

shiro09
shiro09

総合スコア19

WYSIWYG

WYSIWYGとは、ディスプレイに表示されたものが見た通りの状態でプリンターなどに出力できる技術、およびその概念です。HTMLがなくても容易にWebページのレイアウトなどができます。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

エスケープ処理

エスケープ処理とは、一連の文字や一文字に対して、一定の規則に従って別の意味を適用する処理過程です。

Laravel 5

Laravel 5は、PHPフレームワークLaravelの最新バージョンで、2014年11月に発表予定です。ディレクトリ構造がが現行版より大幅に変更されるほか、メソッドインジェクションやFormRequestの利用が可能になります。

0グッド

1クリップ

投稿2019/08/30 11:53

0

1

ユーザーにwysiwygエディタを使って記事を投稿してもらうサイトを作成しています。

ユーザーの入力値にhtmlタグが混入するため、DBへの保存時や画面に表示する時にhtmlspecialcharsを通せばOK、というわけには行きません。

今行っている対応として、

  1. strip_tagsで特定タグ以外のタグを探す
  2. 入力値の中にjavascript:という文字列が無いか探す

の2点を試しているのですが、XSS脆弱性は大変危険なのでこれで十分なのか漠然とした不安があります。

もう少し包括的かつシンプルなセオリーが有れば嬉しいのですが、そういった知見をお持ちの方、ご教授頂けると幸いです。

環境

  • wysiwygエディタにはsummernoteを使用しています。
  • サーバサイドはLaravel5.8を使用しています。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

素人考えで書いても、確実に裏をかかれます。

HTMLPurifierのようなライブラリを使いましょう。

投稿2019/08/30 12:01

maisumakun
maisumakun

総合スコア145967

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

shiro09
shiro09

2019/08/30 12:13

ちょっと見た限りでも今回のケースに役立ちそうなライブラリですね! ありがとうございます。こちらを調べてみます。
shiro09
shiro09

2019/09/02 14:37

結果、このライブラリで上手くいきました。 ご紹介ありがとうございました????
guest

0

豆知識です、質問とはあまり関係ありません

今回の案件では不要かと思いますがユーザー投稿のJSを実行したい場合があるかと思います。
例えば下記のようなサイトです。

このようなサイトでは、投稿サイトと閲覧サイトを別ドメインで管理し、CORSの効力で投稿サイトへのXSS(主にクッキーの抜き出し、勝手な操作等)を対処しています。(ソースを確認すると実行する所はiframeで別ドメインになっていると思います)
※閲覧用ドメインは何されてもOKという前提です

投稿2019/08/30 14:36

編集2019/08/30 14:37
mikkame
mikkame

総合スコア5036

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

shiro09
shiro09

2019/09/02 14:40

私の今回のケースでは使い所が無いですがとてもタメになりました。 ありがとうございます!
guest

0

DBへの保存時や画面に表示する時にhtmlspecialcharsを通せばOK、というわけには行きません。

DBへの保存時に必要なのはSQLのエスケープであってHTMLのエスケープではありません。
保存時にHTMLエスケープしてしまうと、勝手にユーザー入力値を改ざんすることになります。絶対にやってはいけません。

それに脆弱性はXSSだけではないので、
IPAの安全なウェブサイトの作り方を読んでしっかりと学んでください。

strip_tags

これだと探すのではなく否応なしに取り除いてしまいます。

入力値の中にjavascript:という文字列が無いか探す

HTMLエスケープを施せば無効化は可能では?

投稿2019/08/30 12:00

m.ts10806
m.ts10806

総合スコア80875

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

shiro09
shiro09

2019/08/30 12:33

すみません言葉足らずで所々誤解させてしまいました。 ユーザー入力によるXSSを防ぐため、意図しないタグ等をチェックしエラーとして弾きたいという考えです。 > それに脆弱性はXSSだけではないので、 存じておりますが、ここではXSSをどう防ぐか、というご相談をさせて頂いています。 > これだと探すのではなく否応なしに取り除いてしまいます。 strip_tagsを通す前、後の差異で許可しないタグの有無を調べるという意図です。 > HTMLエスケープを施せば無効化は可能では? 有効となるタグも存在するためhtmlspecialcharsによるエスケープは使えないという認識です。 つまるところ「単純にエスケープ処理が出来ない状況下でどうXSSを防ぐか」という質問となります。 迂遠な書き方となってしまい恐縮ですが改めてご回答頂けますと幸いです。
m.ts10806
m.ts10806

2019/08/30 20:27

質問本文に追記してもらえればと ただ、ちゃんと書いたつもりが無言で低評価が複数入ってしまってるので、それに対してまた応えるかは見てから決めます
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.36%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップWYSIWYGに関する質問

ユーザの入力内容に含まれるhtmlタグを適切に処理したい