13.5 HTML_WHITELISTファンクション

HTML_WHITELISTファンクションは、ホワイトリストに指定されているタグを除き、入力テキストのすべての文字でHTMLエスケープを実行します。このファンクションは、入力テキストに単純なHTMLマークアップが含まれる場合に、攻撃者によってクロスサイト・スクリプティングを目的とした悪質なタグが使用されないようにするために有用です。

構文

APEX_ESCAPE.HTML_WHITELIST (
    p_html           IN VARCHAR2,
    p_whitelist_tags IN VARCHAR2 DEFAULT c_html_whitelist_tags )
    return VARCHAR2;

パラメータ

表13-5 HTML_WHITELISTファンクションのパラメータ

パラメータ	説明
p_html	フィルタ処理されるテキスト文字列。
p_whitelist_tags	p_htmlに保持される、カンマで区切られたタグのリスト。

例

次の例に、HTML_WHITELISTを使用して、ホワイトリストのタグを保持しながら、文字列から不要なHTMLマークアップを排除する方法を示します。

begin     sys.htp.p(apex_escape.html_whitelist(         '<h1>Hello<script>alert("XSS");</script></h1>')); end;

参照:

• 「HTML_ATTRIBUTEファンクション」

• 「HTMLファンクション」

• 「HTML_TRUNCファンクション」

• 「SET_HTML_ESCAPING_MODEプロシージャ」