>HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」。
>HTMLをちゃんとパースして、XSSに関わる問題のあるタグなどは除去
▽HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」:phpspot開発日誌
http://phpspot.org/blog/archives/2007/03/htmlxss …
と書かれているのですが、このライブラリは、現在でも利用して大丈夫なのでしょうか?
2007年時点の記事なので、今では状況が変わっているかもしれない、と思い、質問しました
No.1
- 回答日時:
公式サイトを見ると最新版は去年の1月18日にリリースされていますね。
http://htmlpurifier.org/
それから1年たっていることをどうとらえるかはあなた次第ですが、少なくとも1年前までに判明しているXSS手段に対応しているだろうことはわかります。
No.2
- 回答日時:
使ったこともなければ、名前を聞いたこともないですが、どのような状態が危険で、どのような状態が安全かの根本的な知識がないとライブラリを使う意味があまりないと思いますよ。
誰かの知識に依存してる時点で、そのシステムは脆弱じゃないですか?かえって危険のような気が。。
この回答への補足
回答ありがとうございました。
>誰かの知識に依存してる時点で
・これまでHTMLタグは許可しちゃダメ、という認識でいたのですが、例えば、入力内容を一旦全部タグとして読めないよう変換して(サニタイズ?)、さらに許可するタグだけ再変換してタグ状態に戻す、という使い方はありなのでしょうか?
No.3ベストアンサー
- 回答日時:
>これまでHTMLタグは許可しちゃダメ、という認識でいたのですが、例えば、入力内容を一旦全部タグとして読めないよう変換して(サニタイズ?)、さらに許可するタグだけ再変換してタグ状態に戻す、という使い方はありなのでしょうか?
自装すべきと言ってるわけじゃないですよ。防ぐべきものが分かっていない以上、他者に頼ろうが自分で実装しようが危険度は同じです。その考え方は、いわゆるホワイトリストで許可されたものだけを有効にするという一般的なものですね。それだけで十分かどうかは、やはり、ご自身でXSSを勉強するしかないと思います。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 政治 在留カードは常時携帯することが必要ですがゴネて提示に応じないなら逮捕していいのでは? また、不法滞在 3 2023/08/17 05:43
- 経済 日本・世界の来年の景気 5 2022/11/27 22:34
- 経済 日銀総裁の記者会見 5 2022/09/23 16:27
- Ameba(アメーバブログ) アメブロは、HTMLのタグの入力を許さないブログ・サイトですか? 1 2023/06/18 18:48
- ホームページ作成・プログラミング アメーバ・ブログは"HTMLタグ"を許可してないのですか? 2 2023/06/17 21:08
- CGI CGIで出力するhtmlの<!DOCTYPE html>等のタグは要りますか? 2 2023/02/05 21:26
- その他(ニュース・時事問題) 新型コロナワクチンやメディアはいろいろヤバくなってきてませんか? ①アメリカFDAはファイザーとモデ 10 2023/05/18 06:26
- PHP 掲示板のセキュリティについてアドバイスお願い致します 1 2023/08/11 20:44
- その他(ニュース・時事問題) 本当に「異次元の少子化対策」??? 8 2023/04/01 22:13
- PHP PHPでCookieを使った訪問回数について 1 2023/05/28 14:10
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Google ColaboでGUI作成
-
Windows Media Playerを開くと...
-
Ps+のフリープレイでDestiny2の...
-
scipy っていうのをいれようと...
-
python urlopen error について...
-
DirectX Graphics と OpenGLっ...
-
本格的なGUIを作るのにおすすめ...
-
マイコンSHでSQRT(平方根)が...
-
iCloudフォトライブラリ内の画...
-
Windows上でJavaかc言語を使い...
-
WAVE⇔MP3のためのライブラリ
-
LIBCMT.LIBをリンクしてコンパ...
-
動画像をキャプチャするプログラム
-
Dreamweaverのライブラリが反映...
-
c言語でntpdateコマンドにあた...
-
マイミュージックの曲で、WMPの...
-
Excel2003 VBE 参照設定を解除...
-
ituneを複数のPCにインストール...
-
ListViewで複数項目のドラッグ...
-
プログラマーで「使えない人」...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Ps+のフリープレイでDestiny2の...
-
Windows Media Playerを開くと...
-
本格的なGUIを作るのにおすすめ...
-
python urlopen error について...
-
Google ColaboでGUI作成
-
scipy っていうのをいれようと...
-
システムコールと標準ライブラ...
-
ライブラリ作成時のグローバル...
-
強化学習の環境作成、AI。自動...
-
プログラマーで「使えない人」...
-
unix-c と linux-c の違いは?
-
C++ 標準ライブラリの実際の中...
-
マウスのクリックを自動で
-
C# EXCELセルの入力規則設定に...
-
LIBCMT.LIBをリンクしてコンパ...
-
gcc に mktemp 危険と怒られ...
-
Dreamweaverのライブラリが反映...
-
静的ライブラリから静的ライブ...
-
DLL読み込み時エラー
-
sleep関数
おすすめ情報