回答ありがとうございます、XSSとは直接は関係ありませんでした申し訳ありません。

A.回答ありがとうございます、一度試してみたのですが.だけをブロックしても危険なサイトに誘導できる可能性がありそうです。下記のコードはalertを表示させるものですがプロトコルとなっております。アラートループ事件のようにコメントに書き込まれた際に無限に発火してしまう可能性がありそうです。 .と,と:と;で判定するように考えてみます。 テラテイルでカンマやどっとについてのコードを見つけたので使用したいのですが、function CheckUrl()の中の関数をどうすれば良いか分かりませんでした。方法も3つあるようですが、3つ目が難しく2つ目まで書いております、アドバイスお願い致します。 ※現在の雑談掲示板コード https://wandbox.org/permlink/4lKVqjaUL2s2E02Z ※プロトコル data:text/html;base64,PHNjcmlwdD5hbGVydCgnY3JhY2snKTwvc2NyaXB0Pg== ※ケース２. リンクにスクリプトを挿入するから引用 https://qiita.com/tomochan154/items/a93c56536c78d1faff0f ※PHP 正規表現のカンマやドットについて https://teratail.com/questions/56491 ※パターン1 function CheckUrl($str, $mes) { global $errors; mb_internal_encoding("UTF-8"); $pattern="/[\.,:;]/u"; if ('' == $str,$mes) { $errors[] = $mes; } return false; } ※パターン２ function CheckUrl($str, $mes) { global $errors; if (strpos($str, ',') !== FALSE || strpos($str, '.') !== FALSE || strpos($str, '，') !== FALSE || strpos($str, '．') !== FALSE || strpos($str, ':') !== FALSE || strpos($str, ';') !== FALSE || strpos($str, ': ') !== FALSE || strpos($str, '; ') !== FALSE) { $errors[] = $mes; } }

Q.そうですね。 被害を最小限に抑えるのが目的なのでそれがいいと思います。 A.回答ありがとうございます、神経質になりすぎているかもしれませんがセキュリティ重視のほうが安心かと思いました申し訳ありません。 Q.プロトコル（httpやhttps）を除いて書くことができます。 仕組みはわかりませんがhttpでアクセスされてもhttpsに飛ばされたりするので、 プロトコルを記述する意味がなくなってしまっているからです。 A.回答ありがとうございます、何となく認識はしていたのですが調べてみると下記サイトのように自動保管されると書いてありました。 ※参考サイト http://faq.tank.jp/skill/archives/291 Q.おもむろに「http」と記述されている場合は、 書き込めないようにしておくのが無難ですね。 ただ、それ以外はＵＲＬなのかどうかを判定することは、 実際のところ無理があるような気がします。 ピリオドがあれば投稿できなくするのでもいいかも知れません。 日本人でピリオドを入力する人はあまりいないでしょうし。 スクリプトはエスケープしているので解決済みです。 不安にならなくても大丈夫です。 A.回答ありがとうございます、どうやらプロトコルにも種類があるようでhttp://やhttps://から始まらない危険なURLがあるようです。 なのでhttp://やhttps://から始まるか判定して、始まらない場合は書き込みを禁止にすることがXSS対策で推奨されておりました。 こちらはXSS防御に必須なことなのでどうすべきか迷っております、ピリオドで判定するのはとても良い案だと思ったのですが2つの条件を合わせることは可能でしょうか？ 名前とメッセージにhttp://127.0.0.1:9000/?hogehoge=<script>alert('aaa')</script>を入れてみたところ送信できないようですね、失礼いたしました。 ※http:// または https:// で始まる URL かどうかを判定 function isUrl($url) { if (!preg_match('/\Ahttps?:\/\//', $url)) { return false; } return true; } ※参考サイト https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1284006897 https://qiita.com/tomochan154/items/a93c56536c78d1faff0f ※疑似スキームについて(tokenの代わりにセッションIDを使う場合) https://www.securify.jp/blog/cross-site-scripting/ Q.それでいいのですよ。 私は私が思ったことを言わないと気が済まないので言っているだけなので、質問者さまが望む方向でかまわないので、気にしないでくださいね。 A.アドバイスありがとうございます、意見として受け取るように致します。

Q.OKWAVEは「これより先は外部サイトへ移動します。OKWAVEが運営するページではありませんのでご確認ください。」の画面を表示して、本人の意思で移動するかどうかを確認させています。 一方、私の案は、リンクタグにしないこと、です。 A.回答ありがとうございます、OKWABEのように一度チェックを入れることは考えておりませんでした、良さそうですね。 Q.今回、URLのチェックを施したとしても、以下のようなURLもどきは投稿できます。 ttp://yahoo.co.jp ヤフー知恵袋でもこれは投稿できると思われます。 A.回答ありがとうございます、ヤフー知恵袋が規制していたころもhttpを抜いた物は投稿できていたようです。 https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12149394027 Q.スパム目的の人がもし、このように先頭のhをなくしたURLをたくさん投稿してきたらどうでしょう。 ヤフー知恵袋でもリンクではないURLもどきが投稿できるわけです。 そんなことをしてもスパムの目的は達成できませんが、やろうと思えばやってくるわけです。 クリックできないURLもどきがたくさんです。 これは私の案のクリックできないURLとなんの違いがあるでしょうか。 A.回答ありがとうございます。 こちらに関して自分なりの推測になるのですが、もしOKWABEのように一度アクセス前に確認をいれる方法とhttpを入力できない方法の2つ設置した場合、後者の方が被害を防げるのではないかと考えております。 OKWABEのように一度アクセス前に確認をいれたとしても大半の人がアクセスしてしまう危険があるのに対して、もしhttpを書き込めないようにしていた場合URLだと認識してhttpを付け足す人は少ないのではないでしょうか…？ httpを付け足しアクセスしてくださいとウイルスを流した人がメッセージで伝えない限り多くの被害はでないことが想定されます。 httpを書き込めないようにしたい理由が2つあるのですが、1点目はデータが暗号化されていないサイトはウイルスに感染している可能性が高いことになります。調べたところHTTPSをドメイン設定で行っているサイト以外はすべて書き込み禁止にしたほうがよいと書いてありました。 確認画面を挟む場合もデータが暗号化されていないサイトはコメントできないようにしたいと考えております。 ※HTTPS通信について https://securitynews.so-net.ne.jp/topics/sec_20051.html 2点目はURLにウイルスが含まれる場合になります、XSS対策の1つに危険なURLか確かめる方法があるのですが、javascript等のURLを別途対策する必要が出てくるようです。 httpと危険なURLの書き込みを禁止にしてhttps://のみ入力可能にする方法が分からず、すべてのURLの書き込みを禁止にする方法が最善なのではないかと考えました。 function isUrl($url) { if (preg_match('/javascript:/', $url)){ return false; } return true; } ※XSSについて https://qiita.com/tomochan154/items/a93c56536c78d1faff0f Q.もしスパムではない純粋な質問者が見て欲しいサイトがあってURLを投稿したかったとします。 その時には先頭のhをなくして投稿してください、と言う案内になってきます。 そうした場合、閲覧者がそのサイトに行ってみようとすると、URLもどきをコピーして、先頭にhを付けてアクセスすることになります。 手間であってもそうするでしょう。 それなら、その手間が省けるよう、URLをそのまま投稿できた方が便利です。 A.アドバイスありがとうございます、便利さを優先するのであればURLの書き込みを許可すべきですがセキュリティ重視で考えております… 過去にウイルスサイトに誘導されて爆破予告などをしてしまい、パソコン遠隔操作された事件や無限アラート事件などあった為すべて禁止にした方がよさそうな気がしております… コメント欄にコードを書き込まれて開くたびに実行されるようなスクリプトなど対策すべきものがたくさんあるようです。 https://以外の書き込みを許可することは非常に難しいのではないでしょうか…

A.アドバイスありがとうございます。掲示板やコメント等にスパムなどのURLが大量に張られたことがヤフー知恵袋でも過去多発していて一時期URL付き投稿を禁止したこともあるため、 可能であれば禁止にしておきたいです… ヤフー知恵袋のようにデフォルトでは書き込みOKにしてあまりにもひどい場合はブロックしたいのですが、関数は$strでいいのでしょうか？ お問合せぺージ、検索フォーム、掲示板、記事コメント欄に設置したいと考えております。 //関数版？ function CheckUrl($checkurl){ if(preg_match('/^(http|https|ftp):\/\/([A-Z0-9][A-Z0-9_-]*(?:\.[A-Z0-9][A-Z0-9_-]*)+):?(\d+)?\/?/i', $checkurl)){ return true; } return false; } //書き込みを調べてHTTPが含まれるURLの書き込み禁止 function CheckUrl($txtdata){ if (preg_match("/^(?!.*HTTP).+$/i",$txtdata) > 0){ return true; } return false; } //「http:またはftp:以外で始まる文字列」ならfalseで正規表現を使い不正なデータの入力を防ぐ(バリデーション) function CheckUrl($checkurl){ if(preg_match('/^(http|ftp)(:\/\/[-_.!~*\'()a-zA-Z0-9;\/?:\@&=+\$,%#]+)$/', $checkurl))? 'true': 'false'; } ※参考サイト ※URLチェック https://arkgame.com/2017/02/03/php%E5%85%A5%E9%96%80-%E6%AD%A3%E8%A6%8F%E8%A1%A8%E7%8F%BE%E5%BC%8F%E3%81%A7%E8%8B%B1%E6%95%B0%E5%AD%97%E3%81%A8url%E3%82%92%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF%E3%81%99%E3%82%8B/ ※URL書き込み禁止 https://okwave.jp/qa/q5065030.html ※「文頭から最初の:までの間の文字列がhttp:またはftp:以外」ならばtrue、かつ「:がなければtrue」 https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1317261273?__ysp=aHR0cHPku6XlpJbjg5bjg63jg4Pjgq8gcHJlZ19tYXRjaA%3D%3D ※ヤフー知恵袋のURL付き投稿を禁止について https://www.japan-secure.com/entry/blog-entry-443.html#google_vignette ※正規表現一覧 https://qiita.com/lampt/items/675d7f96abd2776ae85d ※掲示板コード https://wandbox.org/permlink/O3xpi6vJpg0Q7HKp

アドバイスありがとうございます、2重に掛けることになるのですね… strip_tags()を使用したあとにhtmlspecialchars()を通したら、「許可するタグ」を指定してもブラウザ上でタグとは判断されないとのことだったので、下記コードを削除するのみにしておきます。 1点心配なことがるのですが、コメント欄にURLが投稿されるのを防ぐことは可能でしょうか？ URLを投稿された際に危険なサイトに誘導される可能せいがあるため出来れば禁止しておきたいと考えております。 正規表現でブロックするのが良いのではないかと考えております。 // タグを除去 $str = strip_tags($str);

A.回答ありがとうございます、参考サイトのJavascriptを入れたところ外部ページにリダイレクトされたため脆弱性はありそうです。 お問合せで使用した文字入力コードも見直しが必要なようです… どうやら $str = strip_tags($str); がXSSに対して警告されているようで、文字列からHTMLおよびPHPタグを取り除くことは特に必要ないように見えましたので、コードを削除する予定です。 よりセキュリティを高めるためにXSS対策に必要である特殊文字を文字参照に変換コードを考えてみました。 PHPではhtmlspecialcharsを使うことで対策出来るようですが、心配だったのでJavascriptでより厳重にチェックすべきではないかと考えております(XSSが一番強いウイルスとアドバイスを頂いたため)。 Javascriptで考えてみたのですが、出力の仕方がわからないため困っております。アドバイスお願い致します。 ※エスケープ <script> const escapeHTML = function (str) { //特殊文字を文字参照に変換 str = str.replace(/&/g,'&amp;'); str = str.replace(/</g, '&lt;') str = str.replace(/>/g, '&gt;') str = str.replace(/"/g, '&quot;') str = str.replace(/'/g, '''); str = .replace(/&/g, '&amp;'); str = .replace(/(\/\/)/g, '／／') str = .replace(/\(/g, '（') str = .replace(/\)/g, '）') str = .replace(/\[/g, '［') str = .replace(/\]/g, '］') str = .replace(/\{/g, '｛') str = .replace(/\}/g, '｝'); return str; } /* 未入力チェックファンクション */ function Chk_InputMode($str,$mes){ $errmes = ""; if($str == ""){$errmes .= "{$mes}<br>\n";} return $errmes; } ※XSSについて https://www.wantedly.com/companies/tsunagu-grp/post_articles/375157 https://qiita.com/hrdaya/items/4beebbdb57009b405d2d ※デコードは https://qiita.com/hrdaya/items/4beebbdb57009b405d2d ※strip_tagsの機能について https://tech.kurojica.com/archives/58923/ ※strip_tagsのXSS脆弱性警告 https://www.php.net/manual/ja/function.strip-tags.php#refsect1-function.strip-tags-notes https://gihyo.jp/dev/serial/01/php-security/0011

アドバイスありがとうございます、インターネットの調子が悪く回答が遅れてしまいました申し訳ありません。 コードを調べてみたところトークンだけで問題ないようでした。 XSSについて調べていた時に発見した下記のサイトを読んでいたところ検索フォームでJavascripを埋め込んで外部ページに飛ばされてしまうことに気が付きました。 対策をしておきたいのですが、コードをどのように変更すべきか分からないためアドバイスお願い致します。 ※該当ページ http://www.irasuto.cfbx.jp/ ※該当コード https://wandbox.org/permlink/RiyV4IkWjQaf2eVL ※参考サイト https://zenn.dev/ad5/articles/5e4e67c9663e4e0d0cb0

Q.本当にそうですか。 新しく投稿した質問のデータをphpMyAdminで確認するとunique_idに何か入っていませんか。 A.回答ありがとうございます、格納されているのですがuuid();を設定すると質問表示画面でindex.phpが表示されております。uuid();をなくした場合正常に表示されるようです。 Q.バイナリーで保存しなくていいと思います。 $_SERVER['REMOTE_ADDR']をそのまま保存すればいいと思います。 A.アドバイスありがとうございます、そのまま保存するように変更いたしました。 Q.それはすでに対応されているはずです。 現在、セキュリティに関してこれとこれとこれを施しているけれども、他に追加すべきことはありますか、と言う質問をした方がいいと思います。 いただいているアドバイス内容からするとトークンのことについてですが、それはすでに施していますよね。 A.回答ありがとうございます、質問の仕方が悪かったかもしれないです申し訳ありません。 いくつか調べてみたところ5つほど対策が必要なようです。 クロスサイトリクエストフォージェリで悩んでいるのですが、対策としてあがっているものと少し異なるためdell_okさんにお聞きしたいです。 入力画面 → 確認画面 → 登録処理のようなページが該当するのですが、秘密情報を「hidden パラメータ」に出力するようにして入力画面と確認画面でセッションIDの成否を調べる方法になるようです。 トークンで回避も可能なようですが実装方法に工夫が必要なようで何が基準になっているのか理解できず…アドバイスお願い致します。 ※トークンの実装方法について https://webukatu.com/wordpress/blog/11993/ ※トークンは使われているが脆弱性あり？ https://teratail.com/questions/71592 ※引用文 まず、利用者の入力内容を確認画面として出力する際、合わせて秘密情報を「hidden パラメータ」に出力するようにします。この秘密情報は、セッション管理に使用しているセッションIDを用いる方法の他、セッションIDとは別のもうひとつのID（第2セッションID）をログイン時に生成して用いる方法等が考えられます。生成するIDは暗号論的擬似乱数生成器を用いて、第三者に予測困難なように生成する必要があります。次に確認画面から登録処理のリクエストを受けた際は、リクエスト内容に含まれる「hiddenパラメータ」の値と、秘密情報とを比較し、一致しない場合は登録処理を行わないようにします（脚注2）。このような実装であれば、攻撃者が「hiddenパラメータ」に出力された秘密情報を入手できなければ、攻撃は成立しません。 ※該当ページ https://www.ipa.go.jp/security/vuln/websecurity/csrf.html 上記のクロスサイトリクエストフォージェリ対策にセッションIDを使用した場合に別途気をつけるルールがあるようでした。 ※セッションIDをつける際のルール https://www.ipa.go.jp/security/vuln/websecurity/session-management.html ※対策済みか調べたもの SQLインジェクションはプレースホルダで対策ができるようで、Wordpressのprepareですべて対策ずみとなっておりました。 https://developer.wordpress.org/reference/classes/wpdb/prepare/ メールヘッダ・インジェクションはメールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する必要があるのですが、。From ヘ ッダに"From:".mb_encode_mimeheader(WEBMST_NAME)."<".WEBMST_MAIL.">\n"; Subject ヘッダにWEBMST_NAME."お問い合わせ自動返信".$_POST['subject'];　という固定値を設定しているため外部から与えられた入力値を挿入できないようになっておりました。

セキュリティについてお聞きしたところ掲示板、お問い合わせフォームともにすべてのセキュリティチェックの追加が必要なようです。 index.php(ファイル還移)を必ず経由するような作りにしてもウイルスを送って攻撃を仕掛けられる危険があるようです。 お問合せ掲示板あわせて複数あるため、先にIPアドレスの方から対応していこうと考えております。 ※お問い合わせフォーム参考コード https://ara-web.net/blog/wordpress/post-3683/ ※アドバイス頂いた内容 プログラムが独立していても、1本でリクエスト分岐していても、送信処理は必ず存在してhiddenであれなんであれ、リクエストは必ず存在するため、最終リクエストには必ずトークンを埋め、処理前にかならず値を検証するべき。