htmLawed
はじめに
htmLawed は高度にカスタマイズ可能な単一ファイルの PHP スクリプトで、テキストをセキュアにするため、そして、標準準拠、管理方針準拠にするために使われます。 対象となるテキストは、 HTML4 、 XHTML 1 と 1.1 、一般的な XML ドキュメントの body です。言い方を変えれば、 htmLawed は設定可能な入力 (X)HTML フィルタであり、 プロセッサ、ろ過器、サニタイザー、整形ツール等々であり、そして HTMLTidy アプリケーションに代わるものです。
テキスト内の HTML コードが標準に準拠していることを保証し、セキュリティの脆弱性が入り込むことを避け、 Web ページの美学やデザインやレイアウトを壊さないことを保証するためには、入力テキストへの規制が必要となります。 このために htmLawed が行うのは、例えば次のようなことです。タグがバランスよく適切にネストされた整形式の HTML を生成する、 クロスサイトスクリプティング (XSS) 攻撃に使われるおそれのあるコードを無効化する、特定の HTML 要素/タグ/属性だけを使用可能にする。
ドキュメンテーション
htmLawed ドキュメントは ここで見る事ができます。
FuelPHP での使用
htmLawed のベンダーパッケージは、 FuelPHP の Security クラスで使用されています。ユーザからの入力をきれいにするために使われます。
アプリケーションからの使い方
Security::xss_clean() メソッドを使って htmLawed にアクセスできます。