${}での出力を自動でエスケープする

[ryutaro-kodama]

${}を使用してHTML上で変数値を動的に出力する際に、XSS等の脆弱性を意識せずとも防げるように、デフォルトで出力する文字列のエスケープ処理を行う機能を追加していただきたいです。

互換性の問題があるので、mayaaの設定ファイル、もしくはページ単位で自動エスケープ機能のON/OFFができるとより望ましいかと考えております。

更に、この機能をONにしていた場合に、エスケープ処理を行わない出力方法もあると非常にありがたく思います。

イメージは以下のthymeleafに実装されているような機能です。
https://qiita.com/papipupesatou/items/3b3685267c9260c2910e#html%E3%81%AE%E5%87%BA%E5%8A%9B

[mitonize]

'${}'記述をHTMLテンプレートに直接書く場合ということですね。
記述する場所によりエスケープ処理は使い分けないといけません。

1. HTML(xml)の文字実体参照
2. '<script>' でパースモードが変わる時は'</script>'を含まない(パースモードが変わる他のタグも同様)
3. JS内に'${}'でリテラル的にオブジェクトを埋め込む際はJSONエスケープ

2は3でカバーできそうですが認識合いますでしょうか。

JSONエスケープ https://datatracker.ietf.org/doc/html/rfc8259

[ryutaro-kodama]

ご返信遅くなり申し訳ございません。

2は3でカバーできそうですが認識合いますでしょうか。

ありがとうございます。
はい、おっしゃる通りだと思っております