velocityのサニタイジング処理
2006年 03月 21日
velocity はかなりよさそうなんだけど、ちょっと調べた感じでは、
XSS対策の王道的な対処方法を調べられなかった。
下のクラスを使う方法はあったんですが、javascript文字列に
対するサニタイジングはサポートされていないから、自前で用意
したものと組み合わせる必要がりそうだった。
http://www.jajakarta.org/velocity/velocity-1.3.1/docs/api/org/apache/velocity/anakia/Escape.html
本屋で立ち読みしてたら、見つけました。
EscapeTool javadoc
http://jakarta.apache.org/velocity/tools/javadoc/org/apache/velocity/tools/generic/EscapeTool.html
あるじゃん。みんな欲しがるものは既に作られている。
html, javascriptだけでなく、sql xml java などのサニタイジングまで
カバーしている。
ほんとは、デフォルトでhtmlのサニタイジングをしてくれて、
指定したところを、javascript用のサニタイジングとか、サニタイジング無しとか
になってくれる仕組みを望んでたんだけど、今回はEscapeToolでよしとします。
XSS対策の王道的な対処方法を調べられなかった。
下のクラスを使う方法はあったんですが、javascript文字列に
対するサニタイジングはサポートされていないから、自前で用意
したものと組み合わせる必要がりそうだった。
http://www.jajakarta.org/velocity/velocity-1.3.1/docs/api/org/apache/velocity/anakia/Escape.html
本屋で立ち読みしてたら、見つけました。
EscapeTool javadoc
http://jakarta.apache.org/velocity/tools/javadoc/org/apache/velocity/tools/generic/EscapeTool.html
あるじゃん。みんな欲しがるものは既に作られている。
html, javascriptだけでなく、sql xml java などのサニタイジングまで
カバーしている。
ほんとは、デフォルトでhtmlのサニタイジングをしてくれて、
指定したところを、javascript用のサニタイジングとか、サニタイジング無しとか
になってくれる仕組みを望んでたんだけど、今回はEscapeToolでよしとします。
by smeg_head
| 2006-03-21 23:02
| java