現在開発中のWebアプリケーションで、はてなブログのようなHTML編集が可能な投稿機能を実装しようと考えています。この場合、XSSへの対策はどのようにしたら良いでしょうか要件は、 - 限られたユーザーが記事を投稿できる - 記事の装飾のためにHTMLの記述で記事を作成できる - HTMLの主な使用目的は - `hタグ`等の文字装飾 - `imgタグ`、`aタグ`等の単純な文字以外の要素の挿入 - 予め用意されている共通のスタイルを`class`で指定して文字に適用する - などがある - ` `等のタグの使用はできないといった感じです (要件定義について不勉強なためわかりづらいかもしれないです、申し訳ありません)

HTML編集機能のXSS対策

現在開発中のWebアプリケーションで、はてなブログのようなHTML編集が可能な投稿機能を実装しようと考えています。

この場合、XSSへの対策はどのようにしたら良いでしょうか

要件は、

といった感じです
(要件定義について不勉強なためわかりづらいかもしれないです、申し訳ありません)

2020/08/25 10:21

どこまでするつもりなのか要件を記載してください。設計次第です。

行動規範の内容に同意します

回答1件

ベストアンサー

使用できる装飾が決まっていて自力で実装する前提ならteratailのマークダウンのような機能にしては。classがあるのでしたら尚更自由にHTMLを投稿させてはいけないかと思います。

そうでないのでしたら基本的にはそのままコードを受け入れ、そのまま出力します。
ブログによるかもしれませんが、大抵は使えるタグが限られていたり提示のようにscriptやstyle不可だったり制限があります。
もっと細かく要件を決めたほうが良いです。

投稿2020/08/25 11:04

総合スコア80890

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.29%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる