More than 3 years have passed since last update.

Rails エスケープ

Posted at 2020-12-06

Railsのエスケープとかについて、知識が曖昧だったので調べてみる
また後日、きちんと調べる

##XSS(クロスサイトスクリプティング)攻撃
まず、エスケープを知る前にこの攻撃方法を知っとかないといけない

XSS(クロスサイトスクリプティング:Cross Site Scripting)とは、
ユーザーに表示するコンテンツに悪意のあるスクリプト(主にJS)を
仕掛け、そのコンテンツを表示したユーザーにスクリプトを実行させることで
任意の操作をさせる攻撃のこと

Webアプリにおいて、動的にhtmlを出力する時、
そのデータをエスケープしていないと
悪意のあるhtmlやjavascriptが紛れ込む

JSは、ブラウザ上で動作し
Cookieなども更新することができたりするのでセキュリティには気をつける

例)クリックするとセッションIDが盗まれてしまう
任意のメッセージや処理が行われるなど

##どう対策するか
ユーザーの入力した文字を出力する際に
自動的にHTMLをエスケープする必要がある

デフォルトでエスケープさせる

###エスケープとは
スクリプトを実行する対象となる文字列を
無害な文字に置き換えること

& → &amp;
" → &quot;
< → &li;
> → &gt

##エスケープしたくないとき
この自動的にHTMLをエスケープしてくれる仕組みは、便利だが
どんなときも文字列をエスケープしたいかというとそうではない

このようなときは、以下のメソッドを使用する

##String#html_safe
html_safeメソッドそれ自体は何らエスケープを行なっていないという
安全であるとマーキングしているに過ぎないので注意する

s = "".html_safe
s.html_safe? # => true

s = "<script>...</script>".html_safe
s.html_safe? # => true
s            # => "<script>...</script>"

あくまで、「s」にはまだスクリプトが埋め込まれている状態

特定の文字列に対してhtml_safeメソッドを呼び出す際には、
その文字列が本当に安全であることを確認する義務がある

"<em>#{text}</em>".html_safe
#=> ヘルパーを使う
content_tag :em, text

##sanitizeメソッド
ある程度タグをそのまま出したいものの、危険なタグは
出力しないようにしたいという場合に利用する

出力できるタグをホワイトリスト形式で制限する

sanitizeはフィルタした結果のHTMLに対して
「String#html_safe」を実行して返すので
さらに、「raw」や「String#html_safe」を使う必要がない

<% @comment = "<script>alert('Hello');<script>
<%= sanitize @comment %>

#生成されるHTML
<div>alert('Hello');</div>