XSS対策、CSRF対策をやってみよう。

[saitos01]

XSS対策について。

• XSSの例(簡略にしたもの、イメージを掴むためのもの) http://blog.toshimaru.net/xssphp/
• 上記例で <script>alert('XSS');</script> を入力したときにアラートが表示されないようにしてみましょう。

CSRF対策について。

• まずはサンプルを探して対策用のコードを作ってみましょう。
  • その後(できれば)、掲示板に組み込んでみましょう。

[koizumi1227]

@shoheis XSS対策について。 上記の例ですと、

value: <?php echo $_POST['xss_text']; ?>

から

value: <?php echo htmlspecialchars($_POST['xss_text'];) ?>

へ変更することで防げると思います。 外部から受け取った情報をhtmlへ出力する時に< > ' " $をエスケープすることでまず一つ目。 aタグhrefを扱う際に、外部からの情報でlinkを生成する場合には入力チェックを行うことで、 http;// , https:// から始まるものにするというのが二つ目。 大半がこの二つで防げるという考えで合っていますか？

下のURLにその他にも対策があるそうですが、全部追うのは難しいですね…。https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

CSRF対策について。 ログイン機能にsessionIDをhash化してそれをtokenにすることで組み込むようにしました！

[saitos01]

XSS対策について ばっちりですね。

大半がこの二つで防げるという考えで合っていますか？

あっております。 まずhtmlspecialcharsをしている時点で大半のものは防げると考えて良いとおもいます。 http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html#XSS

書いてくださった2点に注意すれば他は今気にする必要はないかと。

CSRF対策について。

ログイン機能にsessionIDをhash化してそれをtokenにすることで組み込むようにしました！

こちらもざっと見た限り問題なさそうでした。 ログインに関しては追加の課題を出させていただきましたのでそちらに取り組んでみましょう。

[saitos01]

@koizumi1227 ↑メンション抜けておりました。