|
Web サイトの入力処理プログラムなどにおいて、入力データから HTML タグや JavaScript、SQL などのプログラム文字列を検出し、置き換えを行うことで無害化する処理。sanitize とは「無害にする」という意味です。
電子掲示板などの入力フィールドを持つ Web ページにおいて、HTML タグやスクリプトなどとして機能する文字列をエスケープした文字列に変換したり、文字列自体を削除したりすることで、タグやスクリプトとして機能しなくします。 例えば、<SCRIPT>といったスクリプト・タグを「<SCRIPT>」 とすることで、スクリプト・タグとして機能しないように変換します。 (ブラウザー上の表示自体は、<SCRIPT>となる) 特に入力フィールドを持つ Web ページは、HTML タグやスクリプトのサニタイジングは必須です。サニタイジングを行うことで、HTML 生成時に不正な処理 (主にクロスサイト・スクリプティングの攻撃) が行われないようにします。サニタイズを行わないと、SQL インジェクションや OS コマンド・コマンド・インジェクションといった、システムへの攻撃や侵入に利用される可能性があります。
一般的にサニタイジングは、入力データのチェック時に行うこと、とされています。しかし独立行政法人情報処理推進機構では、サニタイジングのタイミングを HTML 生成時のタイミングで行うことを推奨しています。これは、データを埋め込む HTML 中の文脈に合わせたサニタイジング手法の選択が必要であること、メールなどの各種入力源に対しても、HTML 生成時にサニタイジングを実行していればプログラムの変更が不要であることなどを理由として挙げています。
|
|
|
|
| |
| 索引 |
記号・数字,
A,
B,
C,
D,
E,
F,
G,
H,
I,
J,
K,
L,
M,
N,
O,
P,
Q,
R,
S,
T,
U,
V,
W,
X,
Y,
Z
|
| |
|
