(著者:江田 篤史) はじめに kintoneは、カスタマイズによってレコードの表示方法を変更できるため非常に便利です。 レコードに入力されたマークアップテキストやマークダウンテキストを解析して表示することも可能です。 しかし、セキュリティ面を意識しないと、悪意を持ったユーザーからサイバー攻撃を受ける可能性があります。 今回はkintoneアプリで想定されるサイバー攻撃の例と、DOMPurifyを使った対策をご紹介します。 DOMPurifyはCybozu CDNにてサポートされているのでご利用ください。 DOMPurifyのメリット 単純に正規表現で置き換えたりしようとすると回避されてXSSを埋め込まれる可能性があり、 innerHTMLやjQueryのhtml()などで出力する前にDOMPurify.sanitize() しておくことで、 より安全にHTMLタグを許容することができます
![DOMPurifyを使って安全にDOMを表示しよう! – cybozu developer network](https://cdn-ak-scissors.b.st-hatena.com/image/square/aacecd5045421cc5fd610b5c4ad96c3e6b6d7ea2/height=288;version=1;width=512/https%3A%2F%2Ftheme.zdassets.com%2Ftheme_assets%2F462251%2F27e0ac5e72e6f81008a06f539996dff79cbdcb62.png)