前の記事 ≪:SQLインジェクションに関するチートシート
次の記事 ≫:タブ風UIを実装するための色々

HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」

2007年03月19日-はてなブックマーク

スポンサード リンク
[PR] 日々膨大に出現するJS/CSSライブラリ等を意識にとどめておく方法
HTML Purifier - Filter your HTML the standards-compliant way!
HTML Purifier is a standards-compliant HTML filter library written in PHP.

HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」。
HTMLをちゃんとパースして、XSSに関わる問題のあるタグなどは除去して返してくれます。

例えば、次のコードが(Before)、

phpspot
<a href="hogehoge" onclick="alert('test1');">hogehoge</a>
<script type="text/javascript">
<!--
alert("test2");
-->
</script>

次のコードのようにクリーンになります。(After)

phpspot
<a href="hogehoge">hogehoge</a>

XSS対策しつつ、HTMLコードも使えてます。
デモページにてその動作を検証することが出来ます。

具体的なライブラリの使い方は、次のように簡単。

$purifier = new HTMLPurifier();
$clean_html = $purifier->purify( $dirty_html );

タグを許可したい掲示板やWEBシステムを作る際など、自前ではちょっとセキュリティ的に不安だという方はこういったライブラリが使えますね。

関連の記事検索:PHP, xss, セキュリティ, Security, ライブラリ, HTML
スポンサード リンク

By.KJ : 2007年03月19日 12:05 livedoor Readerで購読 Twitterに投稿

間違いの指摘をしていただける方はメール、あるいはTwitter/FBでお願いします(クリック)