[PHP-users 18215]Re: HTMLタグをユーザーレベルで入力してもらう場合の書式チェック＆トラブル予防策

[sou]

こんばんは、城戸です。

具体的な実装は Pukiwiki や Xoops, slashcode のようなオープンソースのアプ
リケーションが色々とあると思うので参考にされてはいかがでしょうか。

> そうですね、私もこれがもっとも心配ですので、ここだけは強行策を取っていま
> す。
> 
> eregi_replace("script","",$str);
> eregi_replace("java","",$str);
> 
> 
> 普通に考えて「入力されてやって来る」ような代物ではありませんからね（笑）。

<a onMouseOver="document.write('hoge')">test</a>
とか色々あります。ブラウザの挙動が変わればルールも変わります。
許可->禁止 ではなく 禁止->許可 として確実なもの以外は全てエンティティに置換
するのはどうでしょう。
要素だけでなく属性チェックも見て特定パターン以外の属性記述を通さないよう
にすれば気にされているタグの閉じ忘れ対処にもなると思います。

もう 1 年以上利用している国内有数の大手サービスがあるのですが、まずタグ
の記述を許可し、次に禁止ルールを適用して危険な記述を拾い上げブロックしよ
うとしています。
ところが結局適切なルールが定義出来ず脆弱性が残っている割に色々と弊害も起
きており、経緯を眺めているとサニタイジングの考え方として 許可->禁止 では
なく 禁止->許可 の方が楽で確実に思えます。

-- 
sou <sou ＠ enzo.bz>
http://enzo.bz/