ezyang/htmlpurifier の導入

[nanasess]

4系でも使用している ezyang/htmlpurifier の導入を検討する。
PHP5.6以降のサポートだが、コードを見るかぎりはPHP5.4以降で動作しそう。

[nanasess]

modifier.script_escape.php に htmlpurifier を適用することで対応できそう

[nanasess]

以下のようなパッチで、従来以外のパターンにも対応できそう

diff --git a/data/smarty_extends/modifier.script_escape.php b/data/smarty_extends/modifier.script_escape.php
index 99885cd382..3d14551bb1 100644
--- a/data/smarty_extends/modifier.script_escape.php
+++ b/data/smarty_extends/modifier.script_escape.php
@@ -1,4 +1,5 @@
 <?php
+require_once __DIR__ . '/../vendor/ezyang/htmlpurifier/library/HTMLPurifier.auto.php';
 /**
  * Scriptタグをエスケープする
  *
@@ -50,5 +51,10 @@ function smarty_modifier_script_escape($value)
         $value = preg_replace($pattern, $convert, $value);
     }
 
-    return $value;
+    // 念のために HTMLPurifier でサニタイズ
+    $config = HTMLPurifier_Config::createDefault();
+    $config->set('Cache.SerializerPath', __DIR__ . '/../cache');
+    $purify = new HTMLPurifier($config);
+
+    return $purify->purify($value ?? '');
 }

[nanasess]

" が " に置換されてしまうため差し戻し
#1098
この問題が解決しないかぎり、2.18(仮)での採用は難しそう