Q&A
そもそもtextareaの値に直接<script></script>を書いても実行されないのでは?
<textarea>
<script>
alert(1)
</script>
</textarea>
エンティティ変換すると>script≷のようになりませんか?
実現したいこと
クエリパラメータで渡ってきた文字を、テキストエリアの初期値として表示させたいです。
その際、<script></script>のようなXSSリスクのある文字もテキストエリアの中で表示させたいです。
下記のようなコードでXSSの危険がありますか?
<textarea><?php echo htmlentities($_GET["keyword"], ENT_QUOTES, "UTF-8"); ?></textarea>
もしやめた方がいいとかであれば、どのように対策すればよいでしょう。。
要件として、<script></script>のような危険な文字もテキストエリアに出力しておく必要があります。。
また本件、PHPそのものというよりセキュリティの問題に思います。
セキュリティー、XSS などの質問タグを追加されたほうが良いです。
回答3件
0
ベストアンサー
現状でXSS攻撃に対する適切な対策は行われており、問題はありません。
html
1<textarea><?php echo htmlentities($_GET["keyword"], ENT_QUOTES, "UTF-8"); ?></textarea>
このコードは、htmlentities()関数を使用して、HTMLエンティティに変換された$_GET["keyword"]をテキストエリアに挿入します。ENT_QUOTESフラグを使用することで、シングルクォートとダブルクォートもエンコードされ、XSS攻撃を防ぐことができます。
投稿2023/03/15 02:01
総合スコア79
0
もし気になるならHTML-ENTITIESの変換までやっておけばよいでしょう
むしろ$_GETを直接参照するなどはNGです
PHP
1<form> 2<input name="keyword"> 3<input type="submit" value="send"> 4</form> 5<form> 6<textarea><?=mb_convert_encoding(htmlentities(filter_input(INPUT_GET,'keyword'),ENT_QUOTES,'UTF-8'),'HTML-ENTITIES','UTF-8')?></textarea>
投稿2023/03/15 02:38
総合スコア117674
0
php
1htmlentities($_GET["keyword"], ENT_QUOTES, "UTF-8")
上記でもテキストコンテキストに応じた適切なエスケープが行われるため、XSS 対策として十分ではありますが、過剰でもあります。
HTMLメタ文字をテキストコンテキストにおいてエスケープするための関数として htmlspecialchars が用意されています。
php
1htmlspecialchars($_GET["keyword"], ENT_QUOTES, 'UTF-8')
PHPアプリケーションでは一般的に htmlspecialchars が用いられます。htmlentities を代わりに使ってしまうと意図が不明確になる可能性があるため htmlspecialchars を用いることをお勧めします。
下記のようなコードでXSSの危険がありますか?
上記どちらのコードでも XSS の危険はありません。安全です。
投稿2023/03/15 02:21
総合スコア2857
あなたの回答
tips
プレビュー
