悪意あるコードの侵入を阻止するツール、HTML Purifier - SourceForge.JP Magazine(情報元のブックマーク数)
なんか、入力値チェックをしてくれるプラグインソフトみたいです。よくわかんねーけど、ホワイトリストでうごく?みたいですが・・・・CSSのExpressionにも対応してるのかな???
このあたりは、id:hasegawayosukeがkwsk解説してくれるだろうw
HTML Purifierは、HTMLの正当性を確保しクロスサイト・スクリプティングなどの悪意あるコードの侵入を阻止するツールだ。同プロジェクトのページPluginsには、現在、CodeIgniter、Drupal、MODx、Phorum、Joomla!、WordPress用のプラグイン類が用意されている。これを導入しておけば、利用者が、閲覧したブラウザーで実行される悪意あるコードをHTMLコンテンツに挿入することができなくなる。実際の動作をデモ・ページで確かめることもできる。
http://sourceforge.jp/magazine/08/09/08/015225
HTML Purifierは、既知の悪意あるHTMLコードを探すブラックリスト方式ではなく、ホワイトリスト方式を採用している。したがって、正当なHTML文書を構成するすべてのパーツを明示的に指定する必要がある。どのようなコンテキストで何が許されるかは、Smoketestページで確認することができる。正当なHTMLとは何か、要素間の入れ子関係、各要素に付随するHTML属性として正当なものを明確に示すこともHTML Purifierの目的の一つなのだ。CSSにも対応しており、http://で始まるテキストを自動的にHTMLのhref要素に書き換えるといったことができる。HTML Purifierへの乗り換えを検討する場合は、各種HTML検証ツールと比較しているComparisonページが参考になるだろう。
hasegawayosukeさんのBookmark経由で、teraccさんが既に評価済みとのこと。かなりよさそうですねぇ。
HTML Purifierもその一つです。PHP4/5で動作します。バージョン1.0.0のリリースは2006年9月ですから、比較的新しいものです。私は昨年末に初めて触ってみました(バージョン1.3.2です)。
2007-01-05
これまでのものと比べて、非常によく出来ているなと思いましたので、日記に書いてみます。