About smegy things


by smeg_head
カレンダー
S M T W T F S
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

velocityのサニタイジング処理

velocity はかなりよさそうなんだけど、ちょっと調べた感じでは、
XSS対策の王道的な対処方法を調べられなかった。

下のクラスを使う方法はあったんですが、javascript文字列に
対するサニタイジングはサポートされていないから、自前で用意
したものと組み合わせる必要がりそうだった。
http://www.jajakarta.org/velocity/velocity-1.3.1/docs/api/org/apache/velocity/anakia/Escape.html

本屋で立ち読みしてたら、見つけました。
EscapeTool javadoc
http://jakarta.apache.org/velocity/tools/javadoc/org/apache/velocity/tools/generic/EscapeTool.html
あるじゃん。みんな欲しがるものは既に作られている。
html, javascriptだけでなく、sql xml java などのサニタイジングまで
カバーしている。

ほんとは、デフォルトでhtmlのサニタイジングをしてくれて、
指定したところを、javascript用のサニタイジングとか、サニタイジング無しとか
になってくれる仕組みを望んでたんだけど、今回はEscapeToolでよしとします。
[PR]
by smeg_head | 2006-03-21 23:02 | java