読者です 読者をやめる 読者になる 読者になる

by shigemk2

当面は技術的なことしか書かない

セキュリティ対策のポイント 出力検査の指針

読書ノート

これと関連してれう
セキュリティ対策のポイント 入力検査の指針 - by shigemk2

  1. 特定の形式を期待する出力先には、セキュリティ上のリスクがあることを理解する
  2. 出力先の正しい出力形式と正しいエスケープ方法を理解する
  3. エスケープ可能な出力はすべてエスケープする
  4. ヘルパー関数(プリペアードクエリやHTMLフォームヘルパー関数等)が利用可能な場合は、仕様を正しく理解して使用する
  5. エスケープもエルパー関数も利用できない場合は、バリデーションを行って出力する
  6. そのまま出力せざるを得ない場合、100%安全であることを理解しなければならない

これらの出力検査を行う理由のほとんどは、インジェクション対策(XSS含む)である。

とりあえず、ヘルパー機能やライブラリを過信しているとヘルパー機能に抜けがあったりして痛い目を見ること必定なので、
仕様をきちんと確認して、抜けがあるようならエスケープ関数を自作するなどして対応してけばいいんんじゃないでしょうか。