ブログサービスを運営するとき、投稿記事にHTMLのタグをどの程度許すか考えています。いまは厳しめのホワイトリストでやっているのですが、いろんなブログパーツ貼り付けの要望に毎回対応するのが面倒になりました。


MTのコメント投稿の事例やソースは参考になりますが、ブログサービス運営者側で、かつコメントではなくユーザーの記事本文の場合となると、ちと話が違うと思います。
http://www.sixapart.jp/movabletype/manual/3.3/03_blog_admin_guide/customizing_blogs/sanitizing.html

以下の疑問のうち、いくつでもいいので、回答または部分的にでも解説されたURLをお願いします。

1. なんの制限もせずにあらゆるタグ(Javascriptやstyle属性内の外部リソース参照などを含む)許した場合、たとえばどんな危険が考えられるか。
2. ブラックリスト方式が適切かどうか。適切だとしたら、どのようなリストで、正規表現などでどう処理するのがよいか。
3. 2.と同様に、ホワイトリスト方式の場合。
4. 通常の < や > を実体参照化する場合、2.や3.の処理でタグとどう区別すべきか。
5. このような問題を考えるのは、すごく楽しいですね。

回答の条件
  • 1人5回まで
  • 200 ptで終了
  • 登録:
  • 終了:2007/07/14 00:15:03
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

回答1件)

ただいまのポイント : ポイント1 pt / 200 pt ツリー表示 | 新着順
一般的な場合については… calmnite2007/07/09 00:13:43ポイント1pt
ブログサービスの運営経験はないため、一般的な場合についてのみです。 ひととおりカバーした上で、細部・具体値や専門外の内容については続く方にお願いすることとします(笑) すでにご存知の内容ばかりでしたらゴメ ...
  • id:Knoa
    こんにちは。お返事が遅くなりましてすみません。

    「危険」について、もっと噛み砕いて質問すればよかったと反省しました。calmniteさんも書いてくれましたが、整理するとこんな感じでしょうか。
    a. サービス運営者が直接被害を被る可能性
    b. 読者が被害を受ける可能性
    b-1. サービス運営者が間接的な被害の責任を問われる可能性

    a.については、まっとうに組まれたシステムであれば安全かと思います。記事本文の内容はあくまでtext/htmlとしてしか処理しません。
    b.について、JavascriptによるXSSは、Javascriptのブログパーツを貼り付けられるブログサービスでは基本的に起こりうると思っていいでしょうか。そうであれば、あとはブログサービス側が「それはそのブログを書いてるユーザーの責任だからウチは知らんよ」と言えれば問題ないってことでしょうか。はてなの場合は責任持って「はてなダイアリーは読みに来ても安全です」と言うために制限をかけていると思われますね。

    3.以降の質問は、これらの危険にどう対処するかを決めてから、改めて質問する方がスマートでした。失敗。

    はてなっぽい質問かと思ってたんですが、意外に回答が付かなくて肩すかしを食らってしまいました。このくらい伸びてもいいのに~。
    http://q.hatena.ne.jp/1184497584

    しかし、いわし方式って、回答が付かないとぜんぜんポイントもらえないんですね。calmniteさんには長文回答をもらったのにかなり申し訳ないことをしてしまいました…。

    ウォッチリストに入れてくれたみなさま、ありがとうございました。さてこれからどうしよう。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません