Q&A
ご回答ありがとうございます。
メールソフトだからブラウザと違って実行されないのかなと勝手に思っておりました。(メールソフト側が自動で判別してブロックしてくれてたのですね。)
HTMLを素通しはあまり良くないと思ってるので、今後はユーザーから入力できる場所があればできるだけエスケープするようにしたいと思います。
今回アドバイスいただいたおかげで疑問が解けて助かりました。
質問させてください。
今 Laravel でこちらのページを参考にしながらお問い合わせフォームを作っているのですが、「メールテンプレートを作成する」部分で疑問に思ったことがありましたので質問させていただきました。
メールの本文用テンプレートでは以下のように書かれています。
php
1// resources/views/contact/mail.blade.php 2■お問い合わせ内容<br> 3{!! nl2br($body) !!} // {!! nl2br(e($body)) !!} ← にしなくて大丈夫なのでしょうか・・・
一方でその上にある「入力内容確認ページ」の view では
php
1// resources/views/contact/confirm.blade.php 2{!! nl2br(e($inputs['body'])) !!}
と書かれていましてe()ヘルパー関数で囲っているので、XSS対策しているということが分かるのですが、本文用テンプレートのほうでもe()で囲わなくて大丈夫なのでしょうか。
他にもいくつかサイトを見てみたのですが、どれも本文用テンプレートではe()を使ってませんでした。
試しに自分で作ったメールフォームで本文のところに以下のように入力して送ってみたところ、スタイルで記述した方は色が変わっていたのですが、スクリプトは実行されてないように見えました。(メールソフトで開いただけなので、詳しいことは分からなかったです。)
<span style="color:red;">あああ</span> <script>window.alert('あああ');</script>
本文用テンプレートではe()を使っていないのはどのような理由からでしょうか。
もし詳しい方がいらっしゃいましたらご教授いただけると助かります。
よろしくお願いいたします。
回答2件
0
Laravelで一番重要なのは変なブログを見ないこと。
どこからそんな変なブログを見つけるのか。
一目見ただけで初心者が書いてるブログと分かる。
でもさらに下の初心者では相手のスキルを見抜けない。
だから「全部見ない」という対応でいい。
「どこでエスケープするか」はLaravelとは関係ない知識。
変なブログなんか一切信用せずe()が必要な箇所では使えばいい。
投稿2021/04/11 00:50
退会済みユーザー
総合スコア0
0
ベストアンサー
本文用テンプレートのほうでもe()で囲わなくて大丈夫なのでしょうか。
ユーザーが打ち込んだHTMLを素通していいという状況でなければ、使わなければなりません。
試しに自分で作ったメールフォームで本文のところに以下のように入力して送ってみたところ、スタイルで記述した方は色が変わっていたのですが、スクリプトは実行されてないように見えました。
HTMLが実際に通っているという証です(スクリプトについては有害なことが多いので、環境によってはブロックされます)。
投稿2021/04/10 22:50
編集2021/04/10 22:52
総合スコア146018
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/04/11 05:30