About smegy things


by smeg_head
カレンダー
S M T W T F S
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31

velocityのサニタイジング処理

velocity はかなりよさそうなんだけど、ちょっと調べた感じでは、
XSS対策の王道的な対処方法を調べられなかった。

下のクラスを使う方法はあったんですが、javascript文字列に
対するサニタイジングはサポートされていないから、自前で用意
したものと組み合わせる必要がりそうだった。
http://www.jajakarta.org/velocity/velocity-1.3.1/docs/api/org/apache/velocity/anakia/Escape.html

本屋で立ち読みしてたら、見つけました。
EscapeTool javadoc
http://jakarta.apache.org/velocity/tools/javadoc/org/apache/velocity/tools/generic/EscapeTool.html
あるじゃん。みんな欲しがるものは既に作られている。
html, javascriptだけでなく、sql xml java などのサニタイジングまで
カバーしている。

ほんとは、デフォルトでhtmlのサニタイジングをしてくれて、
指定したところを、javascript用のサニタイジングとか、サニタイジング無しとか
になってくれる仕組みを望んでたんだけど、今回はEscapeToolでよしとします。
[PR]
by smeg_head | 2006-03-21 23:02 | java