アキラのＩＴメモ：サニタイジングをする

CGIを作成する時などにクロスサイトスクリプティング(XSS)対策のために必ず必要になるサニタイジングですが、いつもどうやるんだっけ？と忘れてしまいがちなのでここにメモしておくことにします。基本的には以下のような感じでOKです。このあたりの話はIPA セキュアWebプログラミングのページが役に立ちます。

#!/usr/local/bin/perl

use CGI;

$query = new CGI;
$input = $query->param("input");
$input = &sanitize($input);
print <<"EOM";
Content-type: text/html

<html><body>
$input
</body><html>
EOM
exit;

# サニタイジングをする関数
sub sanitize {
    my $input = $_[0];
    $input =~ s/&/&amp;/g;   # & → &amp;
    $input =~ s/</&lt;/g;     # < → &lt;
    $input =~ s/>/&gt;/g;     # > → &gt;
    $input =~ s/"/&quot;/g; # " → &quot;
    $input =~ s/'/&#39;/g;   # ' → &#39;
    return $input;
 }

なお上記のCGIスクリプト（input.cgiとする）を呼び出す例は以下の通りです。

<html><body>
<form action="./input.cgi">
input: <input type="text" size="30" name="input">
<input type="submit" value="submit">
</form>
</body></html>

コメントを投稿