xss-prevention
ユーザー入力のサニタイズ、出力エンコーディング、Content Security Policyの適用により、クロスサイトスクリプティング(XSS)攻撃を防止します。Webアプリケーションでユーザー生成コンテンツを扱う際に活用してください。
description の原文を見る
> Prevent Cross-Site Scripting (XSS) attacks through input sanitization, output encoding, and Content Security Policy. Use when handling user-generated content in web applications.
SKILL.md 本文
XSS Prevention
Table of Contents
Overview
入力サニタイズ、出力エンコーディング、CSP ヘッダー、セキュアコーディング実装を通じた包括的なクロスサイトスクリプティング (XSS) 対策を実装します。
When to Use
- ユーザー生成コンテンツの表示
- リッチテキストエディタ
- コメントシステム
- 検索機能
- 動的 HTML 生成
- テンプレートレンダリング
Quick Start
最小限の動作例:
// xss-prevention.js
const createDOMPurify = require("dompurify");
const { JSDOM } = require("jsdom");
const he = require("he");
const window = new JSDOM("").window;
const DOMPurify = createDOMPurify(window);
class XSSPrevention {
/**
* HTML Entity Encoding - Safest for text content
*/
static encodeHTML(str) {
return he.encode(str, {
useNamedReferences: true,
encodeEverything: false,
});
}
/**
* Sanitize HTML - For rich content
*/
static sanitizeHTML(dirty) {
const config = {
ALLOWED_TAGS: [
// ... (see reference guides for full implementation)
Reference Guides
詳細な実装は references/ ディレクトリを参照してください:
| ガイド | 内容 |
|---|---|
Node.js XSS Prevention | Node.js XSS Prevention |
Python XSS Prevention | Python XSS Prevention |
React XSS Prevention | React XSS Prevention |
Content Security Policy | Content Security Policy |
Best Practices
✅ DO
- デフォルトで出力をエンコードする
- テンプレートエンジンを使用する
- CSP ヘッダーを実装する
- リッチコンテンツをサニタイズする
- URL を検証する
- HTTPOnly クッキーを使用する
- 定期的なセキュリティテストを実施する
- セキュアなフレームワークを使用する
❌ DON'T
- ユーザー入力を信頼する
- innerHTML を直接使用する
- 出力エンコーディングをスキップする
- インラインスクリプトを許可する
- eval() を使用する
- コンテキストを混在させる (HTML/JS)
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- aj-geddes
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/aj-geddes/useful-ai-prompts / ライセンス: MIT
関連スキル
doubt-driven-development
重要な判断はすべて、本番環境への展開前に新しい視点から対抗的レビューを実施します。速度より正確性が重要な場合、不慣れなコードを扱う場合、本番環境・セキュリティに関わるロジック・取り消し不可の操作など影響度が高い場合、または後でバグを修正するよりも今検証する方が効率的な場合に活用してください。
apprun-skills
TypeScriptを使用したAppRunアプリケーションのMVU設計に関する総合的なガイダンスが得られます。コンポーネントパターン、イベントハンドリング、状態管理(非同期ジェネレータを含む)、パラメータと保護機能を備えたルーティング・ナビゲーション、vistestを使用したテストに対応しています。AppRunコンポーネントの設計・レビュー、ルートの配線、状態フローの管理、AppRunテストの作成時に活用してください。
desloppify
コードベースのヘルスチェックと技術負債の追跡ツールです。コード品質、技術負債、デッドコード、大規模ファイル、ゴッドクラス、重複関数、コードスメル、命名規則の問題、インポートサイクル、結合度の問題についてユーザーが質問した場合に使用してください。また、ヘルススコアの確認、次の改善項目の提案、クリーンアップ計画の作成をリクエストされた際にも対応します。29言語に対応しています。
debugging-and-error-recovery
テストが失敗したり、ビルドが壊れたり、動作が期待と異なったり、予期しないエラーが発生したりした場合に、体系的な根本原因デバッグをガイドします。推測ではなく、根本原因を見つけて修正するための体系的なアプローチが必要な場合に使用してください。
test-driven-development
テスト駆動開発により実装を進めます。ロジックの実装、バグの修正、動作の変更など、あらゆる場面で活用できます。コードが正常に動作することを証明する必要がある場合、バグ報告を受けた場合、既存機能を修正する予定がある場合に使用してください。
incremental-implementation
変更を段階的に実施します。複数のファイルに影響する機能や変更を実装する場合に使用してください。大量のコードを一度に書こうとしている場合や、タスクが一度では完結できないほど大きい場合に活用します。