- ベストアンサー
タグ許可、XSS対策「HTML Purifier」
>HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」。 >HTMLをちゃんとパースして、XSSに関わる問題のあるタグなどは除去 ▽HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」:phpspot開発日誌 http://phpspot.org/blog/archives/2007/03/htmlxssphphtml.html と書かれているのですが、このライブラリは、現在でも利用して大丈夫なのでしょうか? 2007年時点の記事なので、今では状況が変わっているかもしれない、と思い、質問しました
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
>これまでHTMLタグは許可しちゃダメ、という認識でいたのですが、例えば、入力内容を一旦全部タグとして読めないよう変換して(サニタイズ?)、さらに許可するタグだけ再変換してタグ状態に戻す、という使い方はありなのでしょうか? 自装すべきと言ってるわけじゃないですよ。防ぐべきものが分かっていない以上、他者に頼ろうが自分で実装しようが危険度は同じです。その考え方は、いわゆるホワイトリストで許可されたものだけを有効にするという一般的なものですね。それだけで十分かどうかは、やはり、ご自身でXSSを勉強するしかないと思います。
その他の回答 (2)
- tracer
- ベストアンサー率41% (255/621)
使ったこともなければ、名前を聞いたこともないですが、どのような状態が危険で、どのような状態が安全かの根本的な知識がないとライブラリを使う意味があまりないと思いますよ。誰かの知識に依存してる時点で、そのシステムは脆弱じゃないですか? かえって危険のような気が。。
補足
回答ありがとうございました。 >誰かの知識に依存してる時点で ・これまでHTMLタグは許可しちゃダメ、という認識でいたのですが、例えば、入力内容を一旦全部タグとして読めないよう変換して(サニタイズ?)、さらに許可するタグだけ再変換してタグ状態に戻す、という使い方はありなのでしょうか?
- hitomura
- ベストアンサー率48% (325/664)
公式サイトを見ると最新版は去年の1月18日にリリースされていますね。 http://htmlpurifier.org/ それから1年たっていることをどうとらえるかはあなた次第ですが、少なくとも1年前までに判明しているXSS手段に対応しているだろうことはわかります。
お礼
回答ありがとうございましたー
お礼
回答ありがとうございました。 大変参考になりましたー