クロスサイトスクリプティングを防止する

セキュリティ原則の1つは、クライアントからサーバーに渡される文字列と変数をサニタイズすることです。プレーンPHPには、XSS（クロスサイトスクリプティング）の脆弱性を防ぐための関数がいくつかあります。

• htmlspecialchars()
• strip_tags()

XSS攻撃を防ぐためのDrupal 8戦略とは何ですか？クライアントデータポストをクリーンアップして、XSS攻撃からサイトを保護するにはどうすればよいですか？

Drupal 7はfilter_xss()XSSの脆弱性を防ぐ必要があることを覚えていますが、XSSの脆弱性に対するDrupal 8の戦略は何ですか？

クロスサイトスクリプティング（XSS）攻撃を回避するための出力のサニタイズ

Twigテンプレートを使用するTwigテーマエンジンは、デフォルトですべてを自動エスケープするようになりました。つまり、Twigテンプレートから印刷されたすべての文字列（たとえば、の間のもの{{ }}）は、フィルターが使用されていない場合、自動的にサニタイズされます。

Drupalで使用可能なTwigフィルターについては、フィルター-Twigテンプレートの変数の変更を参照してください。

Twigの自動エスケープを利用するには（そして安全なマークアップがエスケープされないようにするため）、理想的にはすべてのHTMLがTwigテンプレートから出力される必要があります。

API関数安全な翻訳可能な文字列を作成するには、t（）および\Drupal::translation()->formatPlural() with @または%プレースホルダーを使用します。詳細について は、Drupal 8のコードテキスト変換APIを参照してください。

• プレーンテキストにはHtml :: escape（）を使用します。
• 一部のHTMLタグを許可するテキストにはXss :: filter（）を使用します。
• 使用XSS :: filterAdmin（）ほとんどのHTMLを許可する必要があり、管理者が入力したテキストのため。

t（）、Html :: escape（）、Xss :: filter（）、またはXss :: filterAdmin（）によってサニタイズされた文字列は、Rendererを介してレンダー配列から作成されたマークアップ文字列と同様に、自動的に安全とマークされます。

テキストをサニタイズすることもできますが、関連付けられたテキスト形式のテキスト領域などのコンテキストを除いて、テーマまたはモジュールでcheck_markupを使用することはほとんど正しくありません。

出典：Drupal 8： Rade、Shyamala、Robert Castelo、およびPere Orgaによる安全なコードの記述。

Twigテンプレートは、アプリケーションの出力をサニタイズしませんでした。ページが読み込まれたときに、コメントフィールドに入力され、保存されたスクリプト文字列またはXSS攻撃が実行されました。代わりに、の各文字列入力フィールドをサニタイズすることで問題を解決しましたhook_ENTITY_TYPE_load。

 if(isset($entity->$fieldName)) {  
        $value = $entity->get($fieldName)->value;  
        $value =  htmlspecialchars($value);  
        $entity->set($fieldName, $value);  
 }  

Drupalは通常、入力ではなく出力でフィルタリングするアプローチを採用しています。

個人の入力をフィールドシステムの一部ではないものとして受け入れるモジュールは、（特権のある管理者ユーザーからでも）出力時にフィルタリングする必要があります。通常、出力はレンダー配列です。したがって、これを行う簡単な方法は、レンダリング時に許可されるタグを制限することです。タクソノミーモジュールの用語ラベルの出力から例をとるには：

use Drupal\Component\Utility\Xss;

...

  public function termTitle(TermInterface $taxonomy_term) {
    return [
      '#markup' => $taxonomy_term->getName(),
      '#allowed_tags' => Xss::getHtmlTagList(),
    ];
  }