WYSIWYG редактор секретный вопрос (предотвращение злонамеренного ввода)

Question

Я использую jWYSIWYG в форме, в которой я создаю эти записи в базе данных, и мне было интересно, как можно предотвратить попытки злоумышленника ввести код в кадр?

Разве редактору не нужны скобки (которые я обычно удаляю во время пост-процесса) для отображения стилей?

Answer 1

В конечном итоге , результат будет в ваших руках, когда вы будете вставлять его в базу данных, время, которое вам нужно, чтобы убрать что-либо вредоносное.Простейшим способом будет пробальное использование htmlentites против таких данных, однако есть и другие способы, которыми злоумышленники могут обойти это.Вот хороший скрипт, также реализованный популярной php-инфраструктурой Kohana для класса input против возможных атак XSS:

http://svn.bitflux.ch/repos/public/popoon/trunk/classes/externalinput.php

Answer 2

Если редактор допускает произвольный HTML, вы вступаете в проигрышную битву, поскольку пользователи могут просто использовать редактор для создания своего вредоносного контента.

Если редактор допускает только подмножество разметки, то он должен использовать альтернативный синтаксис (аналогично тому, как это делает stackoverflow), или вам следует избегать всего HTML, кроме определенных тегов из белого списка.

Обратите внимание, что это довольно легко сделать неправильно, поэтому я бы использовал стороннее решение, которое было соответствующим образом протестировано на безопасность.

Answer 3

Я сталкивался с подобными ситуациями, и я начал использовать HTMLPurifier на своем бэкэнде PHP, что предотвратит все возможные атаки. Он прост в установке и позволит вам внести в белый список элементы и атрибуты. Он также предотвращает атаки XSS, которые все еще могут существовать при использовании htmlentities.