回答編集履歴

2

追記

2021/04/23 09:38

投稿

tanat
tanat

スコア18727

test CHANGED
@@ -6,7 +6,11 @@
6
6
 
7
7
 
8
8
 
9
+ 一番楽でかつ安全なのは、
10
+
11
+ 1. そもそもHTMLで受け取らずMarkdown,JSON,厳密なXMLやその他パースしやすい独自マークアップで受け取る
12
+
9
- 一番楽かつ安全なのは、そもそもHTMLで受け取らず(Markdown,JSON,厳密なXMLやその他パースしやすい独自マークアップで受け取る)、データとしてパースしたものホワイトリストに合致するものだけをHTMLとして組み立てていくというアプローチかなと思います。
13
+ 2. 1で受け取ったマークアップデータとしてパースしたものから、ホワイトリストに合致するものだけをHTMLとして組み立てていくというアプローチかなと思います。
10
14
 
11
15
 
12
16
 

1

補足

2021/04/23 09:37

投稿

tanat
tanat

スコア18727

test CHANGED
@@ -10,7 +10,7 @@
10
10
 
11
11
 
12
12
 
13
- 信頼できないユーザーにHTMLを入力させるのは、ちょっとでもミスや考慮漏れがあったらそのまま脆弱性に繋がるので、完璧なものを作るのはかなりの工数が必要になります(ずっと昔からいろんなところでXSS脆弱性が発生しているアプローチです)
13
+ 信頼できないユーザーにHTMLを入力させるのは、ちょっとでもミスや考慮漏れがあったらそのまま脆弱性に繋がるので、完璧なものを作るのはかなりの工数が必要になります(ずっと昔からいろんなところで脆弱性が発生しているアプローチです)
14
14
 
15
15
 
16
16