CakePHP での安全なサイトの作り方 2 ～クロスサイトスクリプティング～ 第 12 回 高蔵寺 SE 勉強会 2008/8/24 （日）

クロスサイトスクリプティングとは

Web サイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のこと。 IT 用語辞典より

クロスサイトスクリプティングの 脆弱性があるとどうなるのか？

・ Cookie の漏えい ・ページの改ざん

サンプルを紹介します （別画面になります）

CakePHP ではどのように対応するか？

例 <?php e(h($value)); ?> View において、 h(htmlspecialchars) を付けて表示させる cake/basics.php で、下記のように処理されている htmlspecialchars($text, ENT_QUOTES, $charset);

注意点 htmlspecialchars($text, ENT_QUOTES , $charset); 先ほどの例の 「 ENT_QUOTES 」がないと、シングルクオート をエスケープしてくれないので、これが入っていることが重要！ ちなみに、これは CakePHP1.2 の話。では、 1.1 では？？？？

CakePHP1.1 の場合 htmlspecialchars($text); cake/basics.php でどの様に書いてあるかというと、 「 ENT_QUOTES 」がないですね。 入れておきましょう！！

これで安心？ CakePHP では表示する部分に全て h を付ける事で クロスサイトスクリプティングが防げるかというと、そうでもない。 script タグ、 style タグ、タグの属性に動的要素を出力する場合は、 h を付けてもクロスサイトスクリプティングが起こりうる可能性があるので、注意を払う必要がある。

終わり