松尾大
info****@local*****
2011年 6月 8日 (水) 08:56:23 JST
@localdiskです。
twitter でもつぶやきましたが CI の XSS 対策は現状使いものにならないと思います。
([removed]って…)
自分の場合は自作helperに以下の関数を作成しています。
if (!function_exists('h')) {
function h($str) {
$CI = get_instance();
return htmlspecialchars($str, ENT_QUOTES, $CI->config->item('charset'));
}
}
で使うときは <?= h($str) ?> という感じです。
kenjiさんの下記の実装方針には賛成です。出力時にエスケープしてくれる
のは楽といえば楽ですもんね。
2011年6月8日8:19 Kenji Suzuki <kenji****@gmail*****>:
> Kenji です。
>
>
> あまり情報や議論がないので CI の XSS 対策についての一つの実装案の記事を書きました。
> http://d.hatena.ne.jp/Kenji_s/20110606/1307354630
>
> CI の XSS 対策についてのまとまった解説はあまりなく、個人的には、ユーザガイド
> のセキュリティの記述も不完全だと思っています。
> http://codeigniter.jp/user_guide_ja/general/security.html
>
> 英語での議論もいくつかありますが、改善する方向には盛り上がっていません。
> http://blog.astrumfutura.com/2011/05/codeigniter-2-0-2-cross-site-scripting-xss-fixes-and-recommendations/
> http://codeigniter.com/forums/viewthread/188698/
>
>
> ということで、手始めに CI での XSS 対策について、例えば、私はこのように対策して
> いるとか、CI はこのように改善すべきだとか、意見交換ができたらと思います。
>
>
> // Kenji
>
> _______________________________________________
> Codeigniter-users mailing list
> Codei****@lists*****
> http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users
>
--
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
MATSUO Masaru
info****@local*****
http://www.localdisk.org/
http://twitter.com/localdisk
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/