${}での出力を自動でエスケープする #110

ryutaro-kodama · 2024-07-30T00:16:14Z

${}を使用してHTML上で変数値を動的に出力する際に、XSS等の脆弱性を意識せずとも防げるように、デフォルトで出力する文字列のエスケープ処理を行う機能を追加していただきたいです。

互換性の問題があるので、mayaaの設定ファイル、もしくはページ単位で自動エスケープ機能のON/OFFができるとより望ましいかと考えております。

更に、この機能をONにしていた場合に、エスケープ処理を行わない出力方法もあると非常にありがたく思います。

The text was updated successfully, but these errors were encountered:

mitonize · 2024-07-31T23:53:21Z

'${}'記述をHTMLテンプレートに直接書く場合ということですね。
記述する場所によりエスケープ処理は使い分けないといけません。

2は3でカバーできそうですが認識合いますでしょうか。

ryutaro-kodama · 2024-10-22T06:50:31Z

ご返信遅くなり申し訳ございません。

2は3でカバーできそうですが認識合いますでしょうか。

ありがとうございます。
はい、おっしゃる通りだと思っております

ryutaro-kodama changed the title ~~${}での出力をエスケープする~~ ${}での出力を自動でエスケープする Jul 30, 2024

mitonize added the enhancement label Jul 30, 2024

Provide feedback