DOMPurifyを使って安全にDOMを表示しよう! – cybozu developer network(著者:江田 篤史) はじめに kintoneは、カスタマイズによってレコードの表示方法を変更できるため非常に便利です。 レコードに入力されたマークアップテキストやマークダウンテキストを解析して表示することも可能です。 しかし、セキュリティ面を意識しないと、悪意を持ったユーザーからサイバー攻撃を受ける可能性があります。 今回はkintoneアプリで想定されるサイバー攻撃の例と、DOMPurifyを使った対策をご紹介します。 DOMPurifyはCybozu CDNにてサポートされているのでご利用ください。 DOMPurifyのメリット 単純に正規表現で置き換えたりしようとすると回避されてXSSを埋め込まれる可能性があり、 innerHTMLやjQueryのhtml()などで出力する前にDOMPurify.sanitize() しておくことで、 より安全にHTMLタグを許容することができます
