webページのセキュリティについて質問です。

 
 ユーザに対してWYSIWYGエディタを提供して、一部のHTML要素をホワイトリストで許可しようと考えています。テキスト装飾関連とimg要素・a要素を許可する予定です。
 それに加えてYouTubeのコード埋め込みも実現したいのですが、object要素param要素やembed要素を許可すると、XSSやCSRFなどのリスクがあるでしょうか?

回答の条件
  • 1人2回まで
  • 登録:
  • 終了:2010/11/06 09:08:43
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

回答2件)

id:MAiNItItuKarERu No.1

回答回数10ベストアンサー獲得回数0

ポイント50pt

それはやはり無視できませんね... objectは意外と万能タグなので...

objectはiframeとほぼ同様の動作も実現できてしまいますし、swfファイルの読み込みにも使われます。

一番よいと思われるのは、存在しない独自形式タグを自動で置き換えるような形だと思います。

たとえば、<<YOUTUBE URL=http://hoge>> を自動でYouTube埋め込みようタグに変換する、等。

テンプレートにjavascriptを組み込んでおくなどでも良いかと。

ただただ既にある要素を許可、禁止にしているだけでは危険かもしれませんね...

id:Lhankor_Mhy

ありがとうございます。

2010/11/01 23:25:38
id:niwa-mikiho No.2

回答回数516ベストアンサー獲得回数40

ポイント20pt

object を許可する時点で Flash であったり、SilverLight も埋め込めるわけで、ほぼなんでも出来ます。


それでも許可したい場合は、youtube であれば


<youtube:MOVIE-ID>


のように独自タグを用意して、表示する際に埋め込む方法はどうでしょうか?

mixi も同じような形で、YOUTUBE の埋め込みに対応してます。

id:Lhankor_Mhy

ありがとうございます。

2010/11/03 18:38:05

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません