« あらためて、サイトの構成について考える(p) | メイン(m) | しょこたんプラグイン »(n)

symfonyのXSS対策

次にXSS対策について考えます。
symfonyxPHP」本のAppendix(P.199)に
「編集の自動エスケープ出力について」という項目がありました。

それによると、symfonyには変数を自動でエスケープする処理が組み込まれているそうです。
これを有効にするには
apps/admin/config/settings.yml
を修正します。

all:
  .settings:
    escaping_strategy:      both
    escaping_method:   ESC_ENTITIES

と指定すればいいそうです。
デフォルトでは.settingsとescaping_strategyとescaping_methodがコメントアウトされているので、コメントを外してあげるだけでXSS対策は完了です。

投稿者: ミラノ 日時: 2007年11月29日 12:44 | | symfony修行日記
このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク BuzzurlにブックマークBuzzurlにブックマーク このエントリーを含むLivedoor Clip



« あらためて、サイトの構成について考える | メイン | しょこたんプラグイン »

Trackbacks

このエントリーのトラックバックURL:

Post a commnet

AMN sponsor rolls


著書

実践Web2.0 BOOK 人気ブロガー直伝! 一歩先行くWeb2.0的ワーキングスタイル
ムーバブル・タイププラグインディレクトリ―PROFESSIONAL NETWORK

カテゴリー