クロスサイトスクリプティング対策について勉強したため共有します。
クロスサイトスクリプティング対策とは
SNSや掲示板を投稿した時、悪意のある第三者がウイルスを攻撃し、
自分のSNSや掲示板を使用されることを防ぐための対策をクロスサイトスクリプティングと言います。
手法としては下記を行います。
function h($str) {
return htmlspecialchars($str, ENT_QUOTES|ENT_HTML5, "UTF-8");
}
PHPのhtmlspecialchars関数を使うことによってXSSの対策を行うことができます。
PHPのhtmlspecialchars関数は、 HTMLタグ(例:「&」、「”」、「’」、「<」、「>」)
などに使われる特殊文字をエンティティに変換し対策を行います。
関連用語
・エスケープ処理とは、マークアップ言語やプログラミング言語、スクリプト言語等で文字列を扱う際に、
その言語にとって特別な意味を持つ文字や記号を、別の文字列に置き換えることです。
・サニタイズは主にWeb上で行う処理のことで、サイバー攻撃につながるような文字を無効化することを指します。
・phpのhtmlspecialchars関数は、 HTMLタグ(例:「&」、「”」、「’」、「<」、「>」)
などに使われる特殊文字をエンティティに変換します。