- コメント欄、TBなどのtag記号<, >, "はすべてエスケープ。
- USER_AGENT, DNS逆引きホスト名内のタグ文字などをエスケープ。
- PATH_INFOなどの文字列は、エスケープなしに(表示等に)使用しない。
- (CSSXSS対策)
CSSXSS対策。「{」を「{」に置き換える。Ver2.00β2以降、さすがにブラウザのバグ修正も普及したと見込んで外しました。
- 日記内や日記の紹介、RSSなどで使用可能なタグと属性値をホワイトリスト式とする。
- タグの href, src, site, cite, action属性では、登録されたプロトコル以外で始まるリンクを消去。相対パスの場合は"./"を付加。
- タグの最後の属性値が0x80以上の文字で終わる場合、スペースを付加するかさらに後ろにダミーの属性値xss=""を追加する(EBXSS対策。これも参考に)。
- \, @記号および、0x00~0x1fの制御コード、0x80~0xffまでの文字コード(全角文字など)を除去
- /*, */, &#, script, java, exp, eval, cookie, includeといった文字列が完全になくなるまで除去
- TAB, LF以外の制御文字を除去する。
- コメントを最初に退避し、"*/"を"*/ "に置き換える。
- "~"といった文字列(改行を含む)を退避し、文字列内から改行を除去、さらに日本語文字で終わる場合はスペースを付加する。(EBXSS対策)
- ", ', *, #を除く文字の、手前に付く\記号を除去する。
- 0x80~0xffのコード(全角文字など)をすべて消去する。
- /*, */, &#, script, java, exp, eval, cookie, includeといった文字列が完全になくなるまで除去する。
- TAB や LF を間に挟んだ上記の記号列が1つでも存在する場合、TABやLFの手前にスペースを1つ追加する。
- url() が正しいかチェックする。相対リンクの場合は"./"を先頭に付加する。
- 文字列を復元する。
- コメントを復元する。