タグ許可、XSS対策「HTML Purifier」

＞HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」。
＞HTMLをちゃんとパースして、XSSに関わる問題のあるタグなどは除去
▽HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」:phpspot開発日誌
　 http://phpspot.org/blog/archives/2007/03/htmlxss …
と書かれているのですが、このライブラリは、現在でも利用して大丈夫なのでしょうか？
2007年時点の記事なので、今では状況が変わっているかもしれない、と思い、質問しました

No.1 回答者： hitomura 回答日時： 2013/02/05 05:44

公式サイトを見ると最新版は去年の1月18日にリリースされていますね。

http://htmlpurifier.org/

それから1年たっていることをどうとらえるかはあなた次第ですが、少なくとも1年前までに判明しているXSS手段に対応しているだろうことはわかります。

この回答へのお礼

回答ありがとうございましたー

お礼日時：2013/02/05 11:41

No.2 回答者： tracer 回答日時： 2013/02/05 07:19

使ったこともなければ、名前を聞いたこともないですが、どのような状態が危険で、どのような状態が安全かの根本的な知識がないとライブラリを使う意味があまりないと思いますよ。

誰かの知識に依存してる時点で、そのシステムは脆弱じゃないですか？
かえって危険のような気が。。

この回答への補足

回答ありがとうございました。

＞誰かの知識に依存してる時点で
・これまでHTMLタグは許可しちゃダメ、という認識でいたのですが、例えば、入力内容を一旦全部タグとして読めないよう変換して(サニタイズ？)、さらに許可するタグだけ再変換してタグ状態に戻す、という使い方はありなのでしょうか？

補足日時：2013/02/05 11:48

No.3 ベストアンサー 回答者： tracer 回答日時： 2013/02/05 17:35

>これまでHTMLタグは許可しちゃダメ、という認識でいたのですが、例えば、入力内容を一旦全部タグとして読めないよう変換して(サニタイズ？)、さらに許可するタグだけ再変換してタグ状態に戻す、という使い方はありなのでしょうか？

自装すべきと言ってるわけじゃないですよ。防ぐべきものが分かっていない以上、他者に頼ろうが自分で実装しようが危険度は同じです。その考え方は、いわゆるホワイトリストで許可されたものだけを有効にするという一般的なものですね。それだけで十分かどうかは、やはり、ご自身でXSSを勉強するしかないと思います。

この回答へのお礼

回答ありがとうございました。
大変参考になりましたー

お礼日時：2013/02/10 11:25