テンプレートシステムはデフォルトでエスケープするべきじゃなかろうか? へのコメント http://www.ryo.com/2006/08/07/251/ by Ryosuke Hosoi Mon, 29 Aug 2011 16:41:42 +0000 hourly 1 http://wordpress.org/?v=3.2.1 りょすけ より http://www.ryo.com/2006/08/07/251/comment-page-1/#comment-462 りょすけ Fri, 11 Aug 2006 07:34:38 +0000 http://www.ryo.com/ryo/?p=251#comment-462 かなださんこんちわです。 そうですよね、散在はよくないですね。 プロジェクトレベルできっちりとXSS対策の方針固めとかないと、あとあと悲惨なことになるのはよくある話になっちゃいますね。 かなださんこんちわです。
そうですよね、散在はよくないですね。
プロジェクトレベルできっちりとXSS対策の方針固めとかないと、あとあと悲惨なことになるのはよくある話になっちゃいますね。

]]> かなだ より http://www.ryo.com/2006/08/07/251/comment-page-1/#comment-461 かなだ Fri, 11 Aug 2006 02:30:34 +0000 http://www.ryo.com/ryo/?p=251#comment-461 こんにちは。デフォルトでエスケープさせる件ですが、難しいところですね。 どうしても生の値をテンプレートに埋めたい場面は出てくるでしょうし、その部分はコード側でエスケープする必要がありますよね。このようにエスケープをする場所がテンプレートとコード中に散在するとXSSの有無の見通しが悪くなると思うんですよ。 出力段階でエスケープさせるのを「出口方式」とするなら、僕は「入口方式」の方を採用してます(URL参照)。「入口と出口の両方で」と簡単にいけばこんなに悩まなくても済むのに……。 http://kaede.to/~canada/doc/yoyiyayiye ここではGETやPOSTしか触れてませんが、ENV, Session, Cookie周りやDBの戻り値などにも気をつける必要がありますよね……。 こんにちは。デフォルトでエスケープさせる件ですが、難しいところですね。

どうしても生の値をテンプレートに埋めたい場面は出てくるでしょうし、その部分はコード側でエスケープする必要がありますよね。このようにエスケープをする場所がテンプレートとコード中に散在するとXSSの有無の見通しが悪くなると思うんですよ。

出力段階でエスケープさせるのを「出口方式」とするなら、僕は「入口方式」の方を採用してます(URL参照)。「入口と出口の両方で」と簡単にいけばこんなに悩まなくても済むのに……。

http://kaede.to/~canada/doc/yoyiyayiye

ここではGETやPOSTしか触れてませんが、ENV, Session, Cookie周りやDBの戻り値などにも気をつける必要がありますよね……。

]]> りょすけ より http://www.ryo.com/2006/08/07/251/comment-page-1/#comment-456 りょすけ Tue, 08 Aug 2006 18:11:23 +0000 http://www.ryo.com/ryo/?p=251#comment-456 komagataさん、kunitさん、最新情報をどうもです さすが国産フレームワークは痒いところに手が届く感じですね # EthnaもMapleも一度じっくり使ってみたいんですが、なかなかじっくり使う時間が取れなくて・・・ smartyのdefault_modifiersはマニュアル http://smarty.php.net/manual/en/variable.default.modifiers.php にも記述がありました。まったく見逃してました!反省 komagataさん、kunitさん、最新情報をどうもです
さすが国産フレームワークは痒いところに手が届く感じですね
# EthnaもMapleも一度じっくり使ってみたいんですが、なかなかじっくり使う時間が取れなくて・・・

smartyのdefault_modifiersはマニュアル
http://smarty.php.net/manual/en/variable.default.modifiers.php
にも記述がありました。まったく見逃してました!反省

]]> kunit より http://www.ryo.com/2006/08/07/251/comment-page-1/#comment-455 kunit Tue, 08 Aug 2006 13:24:49 +0000 http://www.ryo.com/ryo/?p=251#comment-455 MapleのSmartyViewも3.1からデフォルトエスケープにしました。 Smartyは「$default_modifiers」というのを使って、デフォルトエスケープにすることはできます。で、エスケープしてほしくない時は{$hoge|smarty:nodefaults}とすることになります。 ただし、{foreach from=$from item=item}の$fromをエスケープしようとしてエラーがでたりと少々わずらわしいというのはあります。({foreach from=$from|smarty:nodefaults item=item}としないといけないです) MapleのSmartyViewも3.1からデフォルトエスケープにしました。

Smartyは「$default_modifiers」というのを使って、デフォルトエスケープにすることはできます。で、エスケープしてほしくない時は{$hoge|smarty:nodefaults}とすることになります。

ただし、{foreach from=$from item=item}の$fromをエスケープしようとしてエラーがでたりと少々わずらわしいというのはあります。({foreach from=$from|smarty:nodefaults item=item}としないといけないです)

]]> komagata より http://www.ryo.com/2006/08/07/251/comment-page-1/#comment-454 komagata Tue, 08 Aug 2006 10:53:45 +0000 http://www.ryo.com/ryo/?p=251#comment-454 ホントにそうですね。 自分でも |escape 100%付け忘れあります。 フレームワークでいうと、Ethnaはエスケープ済みがデフォルトでした。(たしか) Smartyだと、フィルターで全部エスケープされるようにしておいて、したくないのだけ逆に {$hogehoge|unescape}とか作っておけばいいんですかね。 ホントにそうですね。
自分でも |escape 100%付け忘れあります。

フレームワークでいうと、Ethnaはエスケープ済みがデフォルトでした。(たしか)

Smartyだと、フィルターで全部エスケープされるようにしておいて、したくないのだけ逆に {$hogehoge|unescape}とか作っておけばいいんですかね。

]]> Keisuke より http://www.ryo.com/2006/08/07/251/comment-page-1/#comment-453 Keisuke Tue, 08 Aug 2006 10:07:59 +0000 http://www.ryo.com/ryo/?p=251#comment-453 <blockquote>ふと思ったのが「テンプレートシステムはデフォルトでエスケープするべきじゃなかろうか?」ってこと。</blockquote> これ、激しく賛成ですね。 でも現実としてそうなってないし、やっぱりWebアプリ側でちゃんとしてあげるしかない気がします。 でも、inputとoutputの両方でデータのチェックして、正当性をWebアプリが保障するのは、「PHP」とか言っている時点で相当メンドウな作業ですね(開発・メンテナンス全般で)。 世の中、そうそう上手くできてませんです。

ふと思ったのが「テンプレートシステムはデフォルトでエスケープするべきじゃなかろうか?」ってこと。

これ、激しく賛成ですね。
でも現実としてそうなってないし、やっぱりWebアプリ側でちゃんとしてあげるしかない気がします。
でも、inputとoutputの両方でデータのチェックして、正当性をWebアプリが保障するのは、「PHP」とか言っている時点で相当メンドウな作業ですね(開発・メンテナンス全般で)。
世の中、そうそう上手くできてませんです。

]]>