webページのセキュリティについて質問です。

 
 ユーザに対してWYSIWYGエディタを提供して、一部のHTML要素をホワイトリストで許可しようと考えています。テキスト装飾関連とimg要素・a要素を許可する予定です。
 それに加えてYouTubeのコード埋め込みも実現したいのですが、object要素param要素やembed要素を許可すると、XSSやCSRFなどのリスクがあるでしょうか?

回答の条件
  • 1人2回まで
  • 13歳以上
  • 登録:2010/11/01 16:05:33
  • 終了:2010/11/06 09:08:43

回答(2件)

id:MAiNItItuKarERu No.1

MAiNItItuKarERu回答回数10ベストアンサー獲得回数02010/11/01 16:16:30

ポイント50pt

それはやはり無視できませんね... objectは意外と万能タグなので...

objectはiframeとほぼ同様の動作も実現できてしまいますし、swfファイルの読み込みにも使われます。

一番よいと思われるのは、存在しない独自形式タグを自動で置き換えるような形だと思います。

たとえば、<<YOUTUBE URL=http://hoge>> を自動でYouTube埋め込みようタグに変換する、等。

テンプレートにjavascriptを組み込んでおくなどでも良いかと。

ただただ既にある要素を許可、禁止にしているだけでは危険かもしれませんね...

id:Lhankor_Mhy

ありがとうございます。

2010/11/01 23:25:38
id:niwa-mikiho No.2

niwa-mikiho回答回数508ベストアンサー獲得回数382010/11/03 17:57:47

ポイント20pt

object を許可する時点で Flash であったり、SilverLight も埋め込めるわけで、ほぼなんでも出来ます。


それでも許可したい場合は、youtube であれば


<youtube:MOVIE-ID>


のように独自タグを用意して、表示する際に埋め込む方法はどうでしょうか?

mixi も同じような形で、YOUTUBE の埋め込みに対応してます。

id:Lhankor_Mhy

ありがとうございます。

2010/11/03 18:38:05

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません