記事個別表示 (3016)
これは「水無月ばけらのえび日記 : 直しても直しても直らない」に関連するコメントです。
[3016] Re: 「直しても直しても直らない」
Ruke (2005年6月9日 21時19分)
セキュリティ対策というのはいたちごっこになった時点で絶望的になるというのがセキュリティ技術の基本ですが(無限の市場を意味するために企業はむしろ好みますが)、そういう観点から言ってサニタイジングという行為自体がそもそも誤っているのかもしれません。
この種のサニタイジングフィルタの問題は、データに問題があるという事を判別する事に主眼がおかれている事です。しかし、フィルタを通して出てきた物に確実に問題が含まれていないようにする事は難しいです。あり得るのは、再帰的に問題がなくなるまでフィルタを作用させる事ですが、その動作を正確に把握する事は困難です。それに、そうやって得られた結果が本当に問題を含まないという保証もない。
考えてみれば、問題のないデータをきちんと規定せずに問題のあるデータを完璧に判別する事ができるはずがないわけで、まずは問題のないデータの何たるかをきちんと考えるべきです。そしてそうすれば、問題のあるデータを判定するよりも、問題のないデータを一発で判定するのが素直なアプローチとなるはずです。
つまり、勝手にHTMLのサブセットを作ってDTDを書くなり、付加的なルールを決めるなりして正しいデータを規定し、データを受け取った時にはvalidatorを通して誤っているデータは通さないようにすればよい。
もちろん、特定の仕様に従ってデータを用意する事は一般のユーザには困難ですから、正しいデータの仕様を反映したエディタを用意する事が不可欠ですが。まあ「何をどうしたってvalidなHTMLしか作れないHTMLエディタ」すらほとんど存在していない現状では難しいのでしょうが。
ふと迷い込んで妄想を書いてみました。
これは「水無月ばけらのえび日記 : 直しても直しても直らない」に関連するコメントです。
全読: [3014]Re: 「直しても直しても直らない」からのスレッド(3件)]