RSS等のフィードを作成時のセキュリティでの注意点を教えて下さい。


自サイトのユーザ作成コンテンツをRSS,ATOMで配信するコードを書いています。
はじめは、ユーザ入力部分をサニタイズ(htmlspecialchars)しました。

しかし、description部分で改行コードで改行しないため、改行コードを<br />変換しました。すると、エンティティ化されて、&gt;になります。

これは、サニタイズせず、CDATAの中で表示でいいのでしょうか? つまり、フィードのリーダ側でサニタイズしてというポリシーでいいのでしょうか?
または、違う方法で実装するのでしょうか?

以下を利用しています。
PHP, feedcreator.class.php
ATOM1.0, RSS1.0, RSS2.0

回答の条件
  • 1人5回まで
  • 登録:
  • 終了:2007/08/07 06:21:06
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

ベストアンサー

id:KUROX No.1

回答回数3542ベストアンサー獲得回数140

ポイント100pt

http://www.atmarkit.co.jp/aboutus/rss/rss.html

RSSフィードで提供される情報

  Webサイト「@IT」

    すべてのフォーラムの新着情報40本

の下にあるRSS (RSS2.0)

のデータを見てください。

brに検索すると、たぶん答えが出ると思います。

id:p_question

なるほど。

やっぱり受けて側でサニタイズする前提なんですね。

ありがとうございます。

2007/08/07 06:20:11
  • id:KUROX
    「サニタイズせず、CDATAの中で表示でいい」と回答してます。
    念のため。
  • id:KUROX
    いるか君どうもありがとう。

    RSSの構文チェックするサイトがあります。
    これで、正しいかどうかを調べれば、RSSの仕様を満たすか
    どうかがはっきりします。参考まで。
    http://feedanalyzer.com/

    このコメント読んでもらえるのかな?

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません