正規表現を使用した HTML サニタイズは常に最良の解決策ですか?

HTML サニタイゼーションの最適化: パフォーマンスの向上

Web 開発の領域では、悪意のある攻撃を防ぐために HTML タグを含む文字列をサニタイズすることが重要です。一般的なアプローチは、「<」、「>」、「&」などの文字を、対応する HTML エンティティ (「<」、「>」、「&」など) に変換することです。正規表現は広く採用されているソリューションですが、大量の文字列を処理する場合にはパフォーマンスが問題になる可能性があります。

パフォーマンスを向上させる一般的なアプローチの 1 つは、Web ブラウザに組み込まれている HTML パーサーを利用することです。一時的な HTML 要素 ( タグなど) を利用すると、入力文字列を textContent プロパティに割り当て、その innerHTML 属性からエスケープされたバージョンを取得できます。このメソッドは、提供されたコード スニペットで示されているように、特に中程度の長さの文字列 (10 ～ 150 文字) の場合に大幅に高速な処理を提供します。</p> <pre class="brush:php;toolbar:false"><code class="js">var escape = document.createElement('textarea'); function escapeHTML(html) { escape.textContent = html; return escape.innerHTML; }</code></pre> <p>大なり記号 ('>) をエンコードすることは注目に値します。 ') はスキップしないでください。セキュリティ リスクが依然として発生し、攻撃者がコンテキストを突破して悪意のあるコードを実行する可能性があるためです。したがって、包括的な保護のために、常に 3 文字すべて (<、>、&) をエンコードすることが賢明です。</p><p>以上が正規表現を使用した HTML サニタイズは常に最良の解決策ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。</p></div><div class="nphpQianMsg"><a href="javascript:void(0);">html</a> <a href="javascript:void(0);">String</a> <a href="javascript:void(0);">for</a> <a href="javascript:void(0);">while</a> <a href="javascript:void(0);">Sanitizing</a> <a href="javascript:void(0);">break</a> <a href="javascript:void(0);">Length</a> <a href="javascript:void(0);">Attribute</a> <a href="javascript:void(0);">Property</a> <a href="javascript:void(0);">this</a> <a href="javascript:void(0);">innerHTML</a> <a href="javascript:void(0);">input</a> <a href="javascript:void(0);">issue</a><div class="clear"></div></div><div class="nphpQianSheng"><span>声明：</span><div>この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。</div></div></div><div class="nphpSytBox"><span>前の記事：<a class="dBlack" title="AJAX がローカル ファイルにアクセスできないのはなぜですか?それを修正するにはどうすればよいですか?" href="http://m.php.cn/ja/faq/1796680922.html">AJAX がローカル ファイルにアクセスできないのはなぜですか?それを修正するにはどうすればよいですか?</a></span><span>次の記事：<a class="dBlack" title="AJAX がローカル ファイルにアクセスできないのはなぜですか?それを修正するにはどうすればよいですか?" href="http://m.php.cn/ja/faq/1796680930.html">AJAX がローカル ファイルにアクセスできないのはなぜですか?それを修正するにはどうすればよいですか?</a></span></div><div class="nphpSytBox2"><div class="nphpZbktTitle"><h2>関連記事</h2><em><a href="http://m.php.cn/ja/article.html" class="bBlack"><i>続きを見る</i><b></b></a></em><div class="clear"></div></div><ul class="nphpXgwzList"><li><b></b><a href="http://m.php.cn/ja/faq/1609.html" title="Bootstrap リスト グループ コンポーネントの詳細な分析" class="aBlack">Bootstrap リスト グループ コンポーネントの詳細な分析</a><div class="clear"></div></li><li><b></b><a href="http://m.php.cn/ja/faq/1640.html" title="JavaScript関数のカリー化の詳細説明" class="aBlack">JavaScript関数のカリー化の詳細説明</a><div class="clear"></div></li><li><b></b><a href="http://m.php.cn/ja/faq/1949.html" title="JS パスワードの生成と強度検出の完全な例 (デモ ソース コードのダウンロード付き)" class="aBlack">JS パスワードの生成と強度検出の完全な例 (デモ ソース コードのダウンロード付き)</a><div class="clear"></div></li><li><b></b><a href="http://m.php.cn/ja/faq/2248.html" title="Angularjs は WeChat UI (weui) を統合します" class="aBlack">Angularjs は WeChat UI (weui) を統合します</a><div class="clear"></div></li><li><b></b><a href="http://m.php.cn/ja/faq/2351.html" title="JavaScript を使用して繁体字中国語と簡体字中国語をすばやく切り替える方法と、簡体字中国語と繁体字中国語の切り替えをサポートする Web サイトのトリック_javascript スキル" class="aBlack">JavaScript を使用して繁体字中国語と簡体字中国語をすばやく切り替える方法と、簡体字中国語と繁体字中国語の切り替えをサポートする Web サイトのトリック_javascript スキル</a><div class="clear"></div></li></ul></div></div><footer><div class="footer"><div class="footertop"><img src="/static/imghwm/logo.png" alt=""><p>福祉オンライン PHP トレーニング，PHP 学習者の迅速な成長を支援します！</p></div><div class="footermid"><a href="http://m.php.cn/ja/about/us.html">私たちについて</a><a href="http://m.php.cn/ja/about/disclaimer.html">免責事項</a><a href="http://m.php.cn/ja/update/article_0_1.html">Sitemap</a></div><div class="footerbottom"><p> © php.cn All rights reserved </p></div></div></footer><script>isLogin = 0;</script><script type="text/javascript" src="/static/layui/layui.js"></script><script type="text/javascript" src="/static/js/global.js?4.9.47"></script></div><script src="https://vdse.bdstatic.com//search-video.v1.min.js"></script><link rel='stylesheet' id='_main-css' href='/static/css/viewer.min.css' type='text/css' media='all'/><script type='text/javascript' src='/static/js/viewer.min.js?1'></script><script type='text/javascript' src='/static/js/jquery-viewer.min.js'></script><script>jQuery.fn.wait = function (func, times, interval) { var _times = times || -1, //100次 _interval = interval || 20, //20毫秒每次 _self = this, _selector = this.selector, //选择器 _iIntervalID; //定时器id if( this.length ){ //如果已经获取到了，就直接执行函数 func && func.call(this); } else { _iIntervalID = setInterval(function() { if(!_times) { //是0就退出 clearInterval(_iIntervalID); } _times <= 0 || _times--; //如果是正数就 -- _self = $(_selector); //再次选择 if( _self.length ) { //判断是否取到 func && func.call(_self); clearInterval(_iIntervalID); } }, _interval); } return this; } $("table.syntaxhighlighter").wait(function() { $('table.syntaxhighlighter').append("<p class='cnblogs_code_footer'><span class='cnblogs_code_footer_icon'></span></p>"); }); $(document).on("click", ".cnblogs_code_footer",function(){ $(this).parents('table.syntaxhighlighter').css('display','inline-table');$(this).hide(); }); $('.nphpQianCont').viewer({navbar:true,title:false,toolbar:false,movable:false,viewed:function(){$('img').click(function(){$('.viewer-close').trigger('click');});}}); </script></body></html>