回答編集履歴
2
追記
test
CHANGED
@@ -6,7 +6,11 @@
|
|
6
6
|
|
7
7
|
|
8
8
|
|
9
|
+
一番楽でかつ安全なのは、
|
10
|
+
|
11
|
+
1. そもそもHTMLで受け取らずMarkdown,JSON,厳密なXMLやその他パースしやすい独自マークアップで受け取る
|
12
|
+
|
9
|
-
|
13
|
+
2. 1で受け取ったマークアップをデータとしてパースしたものから、ホワイトリストに合致するものだけをHTMLとして組み立てていくというアプローチかなと思います。
|
10
14
|
|
11
15
|
|
12
16
|
|
1
補足
test
CHANGED
@@ -10,7 +10,7 @@
|
|
10
10
|
|
11
11
|
|
12
12
|
|
13
|
-
信頼できないユーザーにHTMLを入力させるのは、ちょっとでもミスや考慮漏れがあったらそのまま脆弱性に繋がるので、完璧なものを作るのはかなりの工数が必要になります(ずっと昔からいろんなところで
|
13
|
+
信頼できないユーザーにHTMLを入力させるのは、ちょっとでもミスや考慮漏れがあったらそのまま脆弱性に繋がるので、完璧なものを作るのはかなりの工数が必要になります(ずっと昔からいろんなところで脆弱性が発生しているアプローチです)
|
14
14
|
|
15
15
|
|
16
16
|
|