水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 入力時に文字参照に変換するのがよろしくない理由

入力時に文字参照に変換するのがよろしくない理由

2007年9月2日(日曜日)

入力時に文字参照に変換するのがよろしくない理由

Twitterのクロスサイト・スクリプティング(XSS)対策は変だ (www.tokumaru.org)」。文字参照に変換した状態で DB に格納しているというのは、けっこう良くある話だろうと思います。この手のエスケープしすぎによる化けは、twitter に限らず、よく見かけますので……。

※HTML のエスケープに限らず、入力欄に \ を入れて検索すると \\ に化けて、検索ボタンを押すたびに \ が増殖していくという面白いシステムも良くありますね。

一昔前のフリーの掲示板 CGI などでは、フォームの値を読み取るところで < → &lt; " → &quot; のように文字参照に変換してしまうのが一般的でした。この手のアプリケーションは、

という条件を満たしているので、そのような処理をしてもあまり問題にならないのだと思います。これは小規模なフリー CGI だからこそ成立していた作法です。規模が大きくなってくると、以下のような問題が顕在化してきます。

どれも頑張れば対応できるのですが、頑張らないで出力時に考えた方が良いのではないかと。

関連する話題: セキュリティ / サニタイズ言うな

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト