問題タブ [markup]

私は常に、フォーラムやブログのような Web ソフトウェアを作成することに興味を持っていました。これは、限定的なマークアップを使用して HTML に書き直すものです。しかし最近、PHP について、「PHP BBCode parser -PEAR」をググってみて、いくつか試してみると、非効率的な混乱が生じるか、あちこちに XSS ホールのある貧弱なコードが得られることにますます気づきました。

前述の貧弱な BBCode パーサーの例を挙げると、どのように XSS を回避しますか? リンクを処理するための典型的な正規表現を取り上げます。リンクの脆弱性と回避方法について言及できます。

画像タグの処理は、これほど安全ではありません。

そのため、主に PHP の実装に固有の質問がいくつかあります。

1. この例では、uri/url 検証式を使用してのみ一致させることをお勧めしますか? または、コールバックを使用(.*?)してから、入力が有効なリンクかどうかを確認する方がよいでしょうか? 上記で明らかなようにjavascript:alert('XSS!')、上記の URL タグでは機能しますが、URI マッチングが行われると失敗します。
2. コールバック内のような関数はどうurlencode()ですか? (URI 標準に関する限り) 抑止力や問題になりますか?
3. フルスタック パーサーを作成する方が安全でしょうか? それとも、そのようなものを開発して使用するために必要な時間と処理能力は、ページごとに複数の異なるエントリを処理するものには重すぎますか?

私の例は多くの例の 1 つであり、いくつかの例よりも具体的であることはわかっています。ただし、独自のものを提供することをためらわないでください。 そこで、テキスト解析状況における XSS 保護の原則とベスト プラクティス、および一般的な推奨事項を探しています。

テキストは、markdown、bbcode、htmlなどのいずれかを使用してデータベースに保存できます。検索語から許可されたタグを削除する必要がありますか？マークアップパーサーには、そのタスクを支援する方法がありますか？

'％searchword％'クエリのように使用するつもりでした。全文検索は、このような単純なテキスト検索に何か利点がありますか？

更新：これを行う方法は本当にたくさんあるようです。私の状況をもう少し明確にします。これは会社の求人情報Webサイト用であり、約5つまたは7つのvarchar列が検索可能であり（そのうち4つはマークアップが可能です）、いつでも約150のアクティブな求人情報があります。

Google の検索結果はどれも最悪です。

最新の HTML/CSS を使用して Web 上の画像にキャプションを付ける最も適切な方法は何ですか? デモコードをください。

私が開発しているサイトの 1 つには、相互にリンクされた多くの情報があります。私たちには会社があり、それらの会社向けの製品があります。会社のページは、その会社の製品を一覧表示するページにリンクし、その逆も同様です。

HTML仕様から：

CITE: 他の情報源への引用または参照が含まれています。

<cite>これは、会社のリンクに(意味的に) を使用できることを意味しますか? 製品の会社ページはどうですか？

そうでない場合、誰かがこれの「正しい」セマンティックタグを教えてもらえますか?

p以前はこれにand要素を使用してspanいましたが、常に適切な要素を使用するように努めています。これは、お客様の声に関してこれまであまり考えたことがありませんでした。

これは私が念頭に置いていたことです...

それはこれを行うための最良の方法のように見えますか? ベストプラクティスはありますか?

彼らのサイトでW3C マークアップの証言がどのように使用されているかを調べたところ、 ...

W3C がどのようにそれを行ったかをコピーするだけでよいのでしょうか?

Other than submit individual web pages for verification on the W3C site, are there any standalone tools that will do this job.

Ideally this would be a visual studio plugin that could catch errors at design time but one that would just take a wep application url running locally would be good.

Open source suggestions would be preferable

Lucene検索拡張機能（http://www.mediawiki.org/wiki/Extension_talk:Lucene-search）をmediawikiインストールに統合しています。そのすべてが本当にうまく機能していますが、luceneはすべてのmediawiki / htmlマークアップにもインデックスを付けているようで、結果に表示されています。

つまり、「緑」を検索すると、style = "background：green; color：whiteなどのマークアップを含む結果が返されます。

すべてのマークアップの検索結果を削除する方法はありますか？ウィキペディアは同じ検索プラグインを使用していると思いますが、どのように使用していますか？

リッチテキスト ボックス コントロールを使用して、1 ページにいくつかのデータを投稿しています。そして、HTML マークアップを使用してデータをデータベース テーブルに保存しています 例 : This is <b >my bold </b > text

この列の最初の 50 文字を別のページに表示しています。ここで、保存するときに、太字のタグを適用して（50文字を超える）文を保存し、これをトリミングするときに他のページに保存すると（最初の50文字を取得するため）、閉じbタグが失われます（</b> ) .そのため、そのページの残りのコンテンツに太字が適用されます。

どうすればこれを解決できますか? 開いているすべてのタグが閉じられていないことを確認するにはどうすればよいですか? PHPでこれを行う簡単な方法はありますか。HTML タグ全体を削除/マークアップして、文をプレーン テキストとして表示する機能はありますか?

サイトを閲覧するための VB.Net ページを作成しました。HttpWebResponse を文字列に格納します。.Net でページのマークアップの有効性を検証するにはどうすればよいですか? - W3 の直接入力オプションによる検証に似たもの。DOCTYPE を識別し、はいまたはいいえで検証し、表示できる失敗のリストを返すことができるものを探しています。