- ベストアンサー
サニタイジング化されてしまったクォーテーションの復活
Javaで掲示板を作成しております。 入力された内容をタグがあれば正規表現によりサニタイジング化しています。 <font size="5" color="red">TEST"test"</font> → <font size="5" color="red">TEST"test"</font> 許可したタグは復活させています。 → <font size="5" color="red">TEST"test"</font> ここで質問なのですが、 「"5"」と「"red"」のダブルクォーテーションを 復活させて「"5"」と「"red"」となるように、 また、「"test"」は復活させないようにするにはどういう方法が御座いますでしょうか? できれば、 <font size="5" color="red">TEST1"test1"</font> <font size="6" color="blue">TEST2"test2"</font> <font size="7" color="yellow">TEST3"test3"</font> がまとめて置換できればと思います。 宜しく御願いいたします。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (2)
- UKY
- ベストアンサー率50% (604/1207)
そもそも " を " に変換せず全部そのままにしておけばいいんじゃないかと思ったんですが。
お礼
ご回答ありがとうございます。 そうですね、ダブルクォーテーションの変換さえなければ面倒な置換処理を行なう必要が なくてよいかと思うのですが、 入力ミスあるいは意図的にタグのパラメータのダブルクォーテーションを 対にしなかった場合に以降の内容に影響がでてしまう点と、 この文字がクロスサイトスクリプティング対策が必要とするという 内容を見かけましたので、&、<、>、'、"の5つの文字はサニタイジング しておりました。 SQLインジェクション対策で「'」を無害化させるのは分かるのですが クロスサイトスクリプティングについてはよく分かりません。 scriptタグさえ押さえてしまえば問題ないような気がするのですが...
- Bonjin
- ベストアンサー率43% (418/971)
><font size="5" color="red">TEST"test"</font> ここまで戻せたなら < と > の間にある " だけ " に戻せばいいんじゃないでしょうか?
お礼
早々の回答ありがとう御座います。 アドバイスを頂きまして、はまっていたところから抜け出せました。 ありがとう御座いました。
補足
Bonjinさんより頂いたアドバイスを参考に記述したものです。 //タグ内のダブルクォートを復活させる pattern = Pattern.compile("<(.+?)>", Pattern.CASE_INSENSITIVE); matcher = pattern.matcher(input); while(matcher.find()){ String targetStr = matcher.group();//この時点では<と>で囲まれたものだけが取得されている Pattern subPattern = Pattern.compile(""(.*?)""); Matcher subMatcher = subPattern.matcher(targetStr); while(subMatcher.find()){//<と>の中で"と"で囲まれたものが取得 String targetStr2 = subMatcher.group(1); Pattern subSubPattern = Pattern.compile(""(" + targetStr2 + ")""); Matcher subSubMatcher = subSubPattern.matcher(input); input = subSubMatcher.replaceAll("\"$1\""); } }
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
御回答ありがとう御座います。 許可するタグよりも非許可のタグの数が多いのでそれなら思い切って すべてサニタイジングしてしまおうと思い進めておりましたが、 確かに美しくないですね... クロスサイトスクリプティングについて丁寧な解説をいただきイメージがつきました。 独自タグを検討してみたいと思います。