Railsのsanitize

はじめに

今回はsanitizeについてです。cachingはいつやるんでしょうね...(ごめんなさい)
XSS対策において活躍するsanitizeをご紹介します。

XSSとはWebアプリケーションにおいて、動的にhtmlを出力する時、そのデータをエスケープしていないが為に、悪意のあるhtmlやjavascriptが紛れ込むことです。
良いサイトがあったのでご紹介します。

上記のようにきちんと対策しないと、jsをページに埋め込むことができ、他ユーザーをいろんなサイトに飛ばしたりできるのです。

簡単です。sanitizeを使うだけです。（htmlエスケープも対策となりますが、今回はsanitizeをご説明。）

  = sanitize "<h2>sanitize</h2><p>テスト</p>", tags: %w(h2　p)

最初に対象となる文字列、次に許可するhtmlタグを配列で指定します。（%wは配列を生成します。）
ちなみにsanitizeはエスケープではありません。なので例えば以下の場合、<h1>は消去されます。

  = sanitize "<h1>sanitize</h1><p>テスト</p>", tags: %w(h2 p)

今試しにqiitaの記事編集フォームで<script>を埋め込んでみましたが、見事に消去されてました。

また、許可する属性も設定するときは、以下のように書きます。

= sanitize "<h1>sanitize</h1><a href='test.html'>テスト</a><img src='buhi.png'>", attributes: %w(href), tags: %w(h1 a img)

上記の場合、href属性は許可しますがsrc属性は消去されます。

ちなみに、tagsとattributesを指定しないとデフォルトの設定が採用されるのですが、デフォルトでは<script>などは消されますが他は、ほぼほぼ消去されません。

デフォルトはconfigで設定可能。

config/application.rb

config.action_view.sanitized_allowed_tags = ['strong', 'em', 'a'] 
config.action_view.sanitized_allowed_attributes = ['href', 'title']

ひとまず簡単なsanitizeのご紹介でした。他にもカスタマイズする方法など掘り下げれば色々あるのですが、時間がないので今日はここまでにします。