サニタイジング
読み方:サニタイジング
サニタイジングとは
サニタイジングとは、Webサイトやアプリケーションの入力フォームで入力された文字のうち、特別な意味がある特殊文字や記号を無害化することです。Webサイトやアプリケーションの表示や挙動を制御するHTMLやjava script、SQLでも扱われる文字列で、無害化しないと不正な命令が発生する恐れがあります。サニタイジングは、Webサイトに悪質なスクリプト(構文)を埋め込み、閲覧者に被害を及ぼすクロスサイトスクリプティングの対策としても有効です。クロスサイトスクリプティングについてはこちらもご確認ください。
サニタイジングの対象となる記号・文字
サニタイジングの対象となる主要な記号・文字は<、>、 &、 “、 ‘ の5種類です。Webページの表示や無害化処理に関わる記号・文字のため、セッションハイジャックを含む、個人情報の流出、偽情報の表示、強制的なページ遷移など深刻な被害が起こる原因となります。セッションハイジャックについてはこちらもご参照ください。
関連語
エスケープ
エスケープ(エスケープ処理)とはサニタイジングにおいての手法の一つで、特別な意味となる文字・記号を変換することにより、無害化する処理を指します。サニタイジングには、そもそも特殊文字・記号の入力制限をかけてしまうやり方も方法としてはありますが、実用的ではないためエスケープが中心的です。そのため、両用語は厳密には異なりますが、サニタイジングをエスケープの意味で、同義語として扱われることもしばしばあります。
