人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

webページのセキュリティについて質問です。

ユーザに対してWYSIWYGエディタを提供して、一部のHTML要素をホワイトリストで許可しようと考えています。テキスト装飾関連とimg要素・a要素を許可する予定です。
それに加えてYouTubeのコード埋め込みも実現したいのですが、object要素param要素やembed要素を許可すると、XSSやCSRFなどのリスクがあるでしょうか?

●質問者: Lhankor_Mhy
●カテゴリ:インターネット ウェブ制作
✍キーワード:CSRF HTML object Web WYSIWYG
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● MAiNItItuKarERu
●50ポイント

それはやはり無視できませんね... objectは意外と万能タグなので...

objectはiframeとほぼ同様の動作も実現できてしまいますし、swfファイルの読み込みにも使われます。

一番よいと思われるのは、存在しない独自形式タグを自動で置き換えるような形だと思います。

たとえば、<<YOUTUBE URL=http://hoge>> を自動でYouTube埋め込みようタグに変換する、等。

テンプレートにjavascriptを組み込んでおくなどでも良いかと。

ただただ既にある要素を許可、禁止にしているだけでは危険かもしれませんね...

◎質問者からの返答

ありがとうございます。


2 ● niwa-mikiho
●20ポイント

object を許可する時点で Flash であったり、SilverLight も埋め込めるわけで、ほぼなんでも出来ます。


それでも許可したい場合は、youtube であれば


<youtube:MOVIE-ID>


のように独自タグを用意して、表示する際に埋め込む方法はどうでしょうか?

mixi も同じような形で、YOUTUBE の埋め込みに対応してます。

◎質問者からの返答

ありがとうございます。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ