ruby-list

もう少し考えてみました。エスケープ処理は結果オーライでやってしまうとセ
キュリティ上の問題を引き起こすこともあるので、どのようにするのが最も正
しいかというのは興味あるところです。

On Sat, 29 Dec 2001 08:52:36 +0900 
"TAKAGI, Hiromitsu" <takagi.hiromitsu@aist.go.jp> wrote:
> つまり、cookieにprintableでない文字を入れる場合、それをescapeするのは、
> そのコードを書く者の責任であるとするのが正しいと思います。

そもそも、escapeメソッドを使用する目的には次の2種類があるようです。

(1) その文字列を、特定の文字を使用できない場所で使用するつもりの場合に、
    その使用できない文字をescapeする。

    具体的には、例えば日本語の文字列を、URLやcookieなどのnon-printable
    な文字を入れてはならないところに入れる場合がこれに該当します。
    
(2) その文字列を、特定の文字がメタキャラクタとなっている文脈で使用する
    場合に、そのメタキャラクタと同じ文字をescapeする。

    具体的には、その文字列を、ある区切り文字（例えば「&」）で連結して
    使用する際に、区切り文字と同じ文字をescapeする。
    
これら2つの目的のために、同じescapeメソッドが使用されているわけですが
（JavaScriptのescapeメソッドもそうなっている）、本来この2つの目的には
別々のメソッドを用意すべきではないでしょうか。すなわち、

(1)の目的のために：

    使用できない文字だけをエスケープするメソッド。
    
    例えばURLの場合、RFCの定義に従って該当する文字だけをエスケープする
    と、「&」などはエスケープされない。この点で、現状の escapeメソッド
    とは異なる処理。
    
(2)の目的のために：

    引数に指定された文字だけをエスケープするメソッド。
    
    例えば「&」で連結する場合には、
       foo.cgi? + "aaa" + escpae("&", aaa_val) + "&" + "bbb" + escape(...
    のように、「escape("&", aaa_val)」と、その文脈におけるメタキャラク
    タを引数に指定する。

そして、これら(1)、(2)と直交して、どのようなエンコード方法でエスケープ
するかがあるわけですね。で、URLおよびcookieの場合は URL encode（%XX）
を使用することになっていると。

なので、

(1)のメソッドを例えば「url_normalize(source_string)」、
(2)のメソッドを例えば「url_escape(metacharacters, source_string)」
として準備しておき、

例えば cgi-lib.rb の

  def CGI::cookie(options)
    "Set-Cookie: " + options['name'] + '=' + escape(options['value']) +
    (options['domain']  ? '; domain='  + options['domain'] : '') +
    (options['path']    ? '; path='    + options['path']   : '') +
    (options['expires'] ? '; expires=' + rfc1123_date(options['expires']) : '') +
    (options['secure']  ? '; secure' : '')
  end

は、次にようにするのが妥当ではないかと。

  def CGI::cookie(options)
    "Set-Cookie: " + url_normalize(
      url_escape([':', ';', ' '], 
        url_escape(['='], options['name']) + '=' +
        url_escape(['='], options['value']) 
      ) + (options['domain'] ? 
        '; ' + url_escape([':', ';', ' '],
          'domain=' + url_escape(['='], options['domain'])
        ) : ''
      ) + (options['...
      ...
    )
  end

こうしておけば、valueに渡す文字列に事前にエスケープ処理は必要ないと。

それで、valueに複数のものを適当な区切り記号で連結して渡したいならば、
そういうデータ構造のためのクラスを用意して処理するのが良いのではないか
と。例えば、

  value = concatenated_values.new('|', p1, p2, p3)
  
として使用すると。（もしp1内に「|」が含まれているならエスケープされる）    
  


高木 浩光＠独立行政法人産業技術総合研究所
http://staff.aist.go.jp/takagi.hiromitsu/

Thread

Prev Next

In This Thread

Prev Next

[#32695] md5.so (LoadError) — FUKUI Osamu <o-fukui@...>

[#32701] Racc website 404 — rubikitch <rubikitch@...>

[#32721] コマンドラインオプション -K と -e — "Tatsuaki Nagai" <Tatsuaki_Nagai@...>

[#32727] require "./xxx" の「カレントディレクトリ」の意味 — Take_tk <ggb03124@...>

[#32735] Re: コマンドラインオプション -K と -e — "Tatsuaki Nagai" <Tatsuaki_Nagai@...>

[#32740] 空白を含むファイルを system で起動するには — Take_tk <ggb03124@...>

[#32758] [Q]Ruby/Gtk で画面を変化させる — yamato@...

[#32772] newdate — tadf@...

[#32783] Ruby/Becky! 0.9.7 — "T.Shimomura" <redbugml@...>

[#32797] dir_config (mkmf.rb) のオプション指定の優先順位 — tamra@...

[#32800] [ANN]irbsh-0.4.4 — rubikitch <rubikitch@...>

[#32801] blade Internal Server Error — Kazuhiro Yoshida <moriq.kazuhiro@...>

[#32806] Lucie 0.0.1 — TAKAMIYA Yasuhito <takamiya@...>

[#32807] irb 0.8 release — keiju@... (Keiju ISHITSUKA)

[#32814] 添削お願い — Take_tk <ggb03124@...>

[#32827] Ruby Test Form — 堀川 久 <vzw00011@...>

[#32832] irb & pp — rubikitch <rubikitch@...>

[#32836] configure.in for netbsd — hiramatu@...

[#32837] RubyAEOSA 0.1.0 — FUJIMOTO Hisakuni <hisa@...>

[#32840] [ANN]RDE0.9.3.0 公開 — sakazuki <QZS01353@...>

[#32843] [ANN] irbsh-0.5.0 — rubikitch <rubikitch@...>

[#32849] -e で実行した場合うまくいかない正規表現 — "Tatsuaki Nagai" <Tatsuaki_Nagai@...>

[#32853] Re: -e で実行した場合うまくいかない正規表現 — "Tatsuaki Nagai" <Tatsuaki_Nagai@...>

[#32858] [ANN] html-template 0.15 — IKEBE Tomohiro <ikebe@...>

[#32869] RAA update — rubikitch <rubikitch@...>

[#32878] [ANN] irbsh-0.5.1 — rubikitch <rubikitch@...>

[#32892] [ANN] RubyCocoa 0.1.3 — FUJIMOTO Hisakuni <hisa@...>

[#32896] Re: cygwin database Ruby Install MySQL PostgreSQL other... MS-Access(blase) — "井上 浩一" <kyoui32@...>

[#32904] Segmentation fault — em6t-kbt@...

[#32914] rb_define_module を一回だけ呼びたい — Takeshi Horinouchi <horinout@...>

[#32921] uri.rb compatibility — rubikitch <rubikitch@...>

[#32923] Ruby/GSL — yoshiki@...

[#32925] Re: -e で実行した場合うまくいかない正規表現 — "Tatsuaki Nagai" <Tatsuaki_Nagai@...>

[#32930] irbsh の rehash が遅い — rubikitch <rubikitch@...>

[#32935] Ruby256 倍本 " 界道編 " — shukaku@...

[#32939] [watch] 情処プロ研 02-01-30 — Noritsugu Nakamura <nnakamur@...>

[#32940] gsub でマッチした文字列を小文字に変換 — Takeshi Yamamoto <hora@...>

[#32945] class-in-state — keiju@... (Keiju ISHITSUKA)

[#32946] scope-in-state — keiju@... (Keiju ISHITSUKA)

[#32948] [uri.rb] strip or not — rubikitch <rubikitch@...>

[#32953] Ruby and dRuby on Turbolinux 7 — Tohru OTOKITA <otokita@...>

[#32967] URI should be URL+URN ? — OZAWA -Crouton- Sakuro <crouton@...>

[#32974] ruby で組んだ CGI の挙動がおかしい — Toru MITANI <toru_m@...2.dion.ne.jp>

[#32978] [Q]extract regular expression from String — Masaaki Sakano <mas@...>

[#32982] ロゴ？の扱い — encore ann <i@...>

[#32987] [Media Watch] 「横着プログラミング」 — Shin-ichiro HARA <sinara@...>

[#32989] write to $> causes error on mswin32/mingw32 — "U.Nakamura" <usa@...>

[#32999] [ANN] RubyCocoa 0.2.0 — FUJIMOTO Hisakuni <hisa@...>

[#33002] Re: [ruby-talk:29048] Re: Best way to do XML-RPC — TAKAHASHI Masayoshi <maki@...>

[#33007] tmail error — rubikitch <rubikitch@...>

[#33008] racc-1.3.7 --> racc-1.4.1 ではまったこと — Noritsugu Nakamura <nnakamur@...>

[#33009] [ANN]RDE0.9.3.1 公開 — sakazuki <QZS01353@...>

[#33014] "Walrus" on LinuxJapan — Taku Nakajima <tnakajima@...>

[#33025] ruby 1.6.6 is out — matz@... (Yukihiro Matsumoto)

[#33026] Ruby 1.6.6 リファレンスマニュアル日本語版 (RD) — Kazuhiro NISHIYAMA <zn@...>

[#33038] PStore on Windows — keiichi matsunaga <ma2@...>

[#33040] win32ole と Excel 倍精度 — ISIHARA HIROSI <ishihara-h@...>

[#33042] [][][] macro Ruby — "井上 浩一" <kyoui32@...>

[#33043] Re: win32ole と Excel 倍精度 — ISIHARA HIROSI <ishihara-h@...>

[#33047] regex bug? — Yamamoto Atsushi <yamamoto@...>

[#33050] cgi.rb で cookie の encoding について — Beyond <beyond@...>

[#33067] It wants to divide dirty source. library para-amino-salicylic acid — "井上 浩一" <kyoui32@...>

[#33068] Re: [][][] macro Ruby — "井上 浩一" <kyoui32@...>

[#33070] [ANN] Walrus-0.7.4 公開 — Taku Nakajima <tnakajima@...>

[#33100] ruby_unit newest binary in djgpp — maili31s@... (SugHimsi == SUGIHARA Hiroshi)

[#33114] 新年会 — "Shin'ya Adzumi" <adzumi@...>

[#33122] 中田さんとこの・・ — Take_tk <ggb03124@...>

[#33139] setup 3.0.2 のタスクオプション — FUJIMOTO Hisakuni <hisa@...>

[#33141] [ann] Q's WebCalendar リリース — 堀川 久 <vzw00011@...>

[ruby-list:33104] Re: cgi.rb で cookie の encoding について

Thread

In This Thread

[#32827] Ruby Test Form — 堀川久 <vzw00011@...>

[#32896] Re: cygwin database Ruby Install MySQL PostgreSQL other... MS-Access(blase) — "井上浩一" <kyoui32@...>

[#33042] [][][] macro Ruby — "井上浩一" <kyoui32@...>

[#33067] It wants to divide dirty source. library para-amino-salicylic acid — "井上浩一" <kyoui32@...>

[#33068] Re: [][][] macro Ruby — "井上浩一" <kyoui32@...>

[#33141] [ann] Q's WebCalendar リリース — 堀川久 <vzw00011@...>