こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

解決済みの質問

タグ許可、XSS対策「HTML Purifier」

>HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」。
>HTMLをちゃんとパースして、XSSに関わる問題のあるタグなどは除去
▽HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」:phpspot開発日誌
  http://phpspot.org/blog/archives/2007/03/htmlxssphphtml.html
と書かれているのですが、このライブラリは、現在でも利用して大丈夫なのでしょうか?
2007年時点の記事なので、今では状況が変わっているかもしれない、と思い、質問しました

投稿日時 - 2013-02-05 02:52:21

QNo.7928756

暇なときに回答ください

質問者が選んだベストアンサー

>これまでHTMLタグは許可しちゃダメ、という認識でいたのですが、例えば、入力内容を一旦全部タグとして読めないよう変換して(サニタイズ?)、さらに許可するタグだけ再変換してタグ状態に戻す、という使い方はありなのでしょうか?

自装すべきと言ってるわけじゃないですよ。防ぐべきものが分かっていない以上、他者に頼ろうが自分で実装しようが危険度は同じです。その考え方は、いわゆるホワイトリストで許可されたものだけを有効にするという一般的なものですね。それだけで十分かどうかは、やはり、ご自身でXSSを勉強するしかないと思います。

投稿日時 - 2013-02-05 17:35:41

お礼

回答ありがとうございました。
大変参考になりましたー

投稿日時 - 2013-02-10 11:25:24

ANo.3

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(3)

ANo.2

使ったこともなければ、名前を聞いたこともないですが、どのような状態が危険で、どのような状態が安全かの根本的な知識がないとライブラリを使う意味があまりないと思いますよ。誰かの知識に依存してる時点で、そのシステムは脆弱じゃないですか?
かえって危険のような気が。。

投稿日時 - 2013-02-05 07:19:47

補足

回答ありがとうございました。

>誰かの知識に依存してる時点で
・これまでHTMLタグは許可しちゃダメ、という認識でいたのですが、例えば、入力内容を一旦全部タグとして読めないよう変換して(サニタイズ?)、さらに許可するタグだけ再変換してタグ状態に戻す、という使い方はありなのでしょうか?

投稿日時 - 2013-02-05 11:48:09

-広告-

ANo.1

公式サイトを見ると最新版は去年の1月18日にリリースされていますね。
http://htmlpurifier.org/

それから1年たっていることをどうとらえるかはあなた次第ですが、少なくとも1年前までに判明しているXSS手段に対応しているだろうことはわかります。

投稿日時 - 2013-02-05 05:44:15

お礼

回答ありがとうございましたー

投稿日時 - 2013-02-05 11:41:22

-広告-
-広告-

あなたにオススメの質問

-広告-
-広告-