Q&A
お世話になります。
WordPressのテーマにてechoする際、esc_url()やesc_html()やesc_attr()でエスケープ処理するのが通例となっています。
例えばesc_html()やescattr()などは、例えば「フォームで外部ユーザー側からGETしたものをそのまま出力するのは危ない」というのはイメージがつきます。
しかし、例えば画像ソースを出力するための
PHP
1<img src="<?php echo esc_url(get_template_directory_uri() . '/hoge.jpg'); ?>">
や、内部アンカーリンクに
PHP
1<a href="<?php echo esc_url(home_url()); ?>">
といったエスケープ処理の必要性が分かりません。
これらは初めからこちら側(WP側)で特定の記述を決めつけているはずなのに、それが外部からどのように改変・攻撃される危険性があるか、といった想定がつきません。
なにか分かりやすい例などがあればご教授いただけると幸いです。
よろしくお願いいたします。
回答2件
0
ベストアンサー
主にXSSについての疑問かと思いますが、「慣習」のようなものと捉えて良いと思います。
基本的には出力時に対応をするべきものであるため、「あれはする」「これはしない」と分けていると対応漏れが起きたりします。
なので、「動的な文字列、変数を出力する際は全て対応する」とすることで漏れをなくすような形にしているのではないでしょうか。
WordPressの話ではないですが、PHPに限らずテンプレートエンジンはデフォルトの出力時の記述は全てhtmlエスケープが行われる記述方法となっており、「エスケープしない」記述は意図しないと書けないようになっています。
投稿2022/04/27 20:33
総合スコア80888
0
プラグインによって組み込み関数が予期しない動作に変更されてしまっている可能性があるからではないでしょうか?
投稿2022/04/28 16:17
総合スコア915
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2022/04/28 10:06