私は、顧客がオンラインで登録できるようにするために使用できるサイトを持っています (これはデイケア登録用です)。そのため、このオンライン登録フォームを提供し、顧客が登録完了後に表示される「ありがとう」メッセージをカスタマイズできるようにしています。
顧客が HTML を使用してお礼のメッセージをフォーマットすることを許可しても安全ですか? これにより、JavaScriptも生成できるようになることはわかっていますが、気にする必要がありますか?
私は、顧客がオンラインで登録できるようにするために使用できるサイトを持っています (これはデイケア登録用です)。そのため、このオンライン登録フォームを提供し、顧客が登録完了後に表示される「ありがとう」メッセージをカスタマイズできるようにしています。
顧客が HTML を使用してお礼のメッセージをフォーマットすることを許可しても安全ですか? これにより、JavaScriptも生成できるようになることはわかっていますが、気にする必要がありますか?
はい、あなたは間違いなく気にする必要があります。
<img src="http://evil.com/evilScript.js">
お礼のメッセージについてはevilScript.js
、ご想像にお任せします。
私の提案は、Markdown をフォーマットとして使用し、必要に応じて (ビューで) HTML に解析することです。
はい、ある程度消毒しておけば安全です。良い例は、、、などのタグstrip_tags
のみを使用して許可し、 、およびその他の危険なタグを避けることです。<h1>
<h2>
<b>
<u>
<script>
<object>
PHP メソッドを参照していることはわかっていますが、多くの言語には、ユーザー入力をクレンジングするためのこの種の機能があります。これをPHP固有の回答にしないでください。