自分達のユーザがHTMLとCSSを含むコンテンツを提示するのを可能にしたいと願うデベロッパ達は、Cross Site Scripting(XSS)という重要なセキュリティ問題を抱えている。"AntiSamy"(サイト・英語) プロジェクトとして知られる新たなOWASPにおけるプロジェクトは、総括的でポリシー駆動の、フィルタープロセスにおいてユーザフィードバックを提供するのと共に入力を検証し、また安全なAPIを作るのを目標としている。そのプロジェクトのサイト(サイト・英語)はそのAPIを下記のように解説している。
技術的にそれはユーザが供給したHTML/CSSがアプリケーションルール内において準拠していることを確実にするAPIです。言い換えると、それはクライアントがプロファイル、コメント等で供給するHTML内に、サーバ上で持続する有害コードを出さないよう確かめるのを補助するAPIなのです。Webアプリケーションの観点において、有害なコードという用語は通常JavaScriptとしてのみ見なされます。カスケーディングスタイルシート(CSS)はそれがJavaScriptエンジンを呼び出す時にのみ有害であると考えられます。しかしながら、”普通”のHTMLとCSSが悪意をもって使用される場合がたくさんあるのです。
このAPIを分け隔てるものは、Arshan Dabirshiaghi氏によると、そのユーザフレンドリーなアプローチであるという。
AntiSammyの方法論は、それがHTMLドキュメントとドキュメント内でのコンテンツ両方のフォーマットにおいて良好なセキュリティモデルの上に成り立っているという点でユニークなのです。また、それは現代のセキュリティメカニズムのようにユーザをアタッカーとして見なす方法ではなく、ユーザ達が検証に合格するよう彼らのインプットを調整するのを補助するという点でユニークなのです。
そのペーパー”有害なコード発見と除去”(PDF・英語)の中で、Dabirshiaghi氏はフィルタープロセスに関わっている段階を解説している。
- プリプロセッシング。HTMLクレンジングを行うためのNekoHTML(サイト・英語)の使用
- プロセッシング。Tag/CSS検証ルールに3つのプロセスモードを使用して深みを与えられている。フィルター、切り詰め、そして検証である。フィルターのアクションは許可されていないタグを除去するのだが、コンテンツを保持する。切り詰めは禁止されているタグの属性とチャイルドノードを除去する。検証は有効なタグのみが認証されることを確実にし、タグ・属性コンビネーションでポリシーファイル内でルールのマッチングを行う。
- リメディエーション。もし検証がプロセス中に失敗したらポリシーファイルはタグとそのコンテンツにどのように対応するのかを決定するようコンサルティングを受けている。オプションにはタグとそのコンテンツの除去が含まれており、タグをフィルタしてコンテンツを残し、またタグから属性を除去する。
AntiSamyを含む最初のリリースにはもうすぐ入手可能になる。.NetとPHPを伴うJava実装が含まれている。
Javaアプリケーションへの統合は至ってシンプルである。
import org.owasp.validator.html.*;
Policy policy = new Policy(POLICY_FILE_LOCATION);
AntiSamy as = new AntiSamy();
CleanResults cr = as.scan(dirtyInput, policy);
MyUserDAO.storeUserProfile(cr.getCleanHTML()); // some custom function
CleanResultsクラスはフィルタープロセスについての実用的な情報にアクセスするためのメソッドを提供する。
getErrorMessages()
- StringエラーメッセージのリストgetCleanHTML()
- 清潔で安全なHTML出力getCleanXMLDocumentFragment()
- 反映される清潔で安全なXMLDocumentFragmentgetCleanHTML()
getScanTime()
- スキャンタイムを数秒内に返還する
BSDスタイルの下でライセンスされているAntiSamyのダウンロードは、グーグルコードプロジェクトページ(サイト・英語)から行うことができる。