<Span style = ...> безопасно для дезинфекции? - PullRequest
5 голосов
/ 21 марта 2011

Я использую текстовый редактор (CKEditor), и у меня есть возможность позволить пользователям создавать профили, которые отображаются для других пользователей.

Многие атрибуты, которыми может управлять CKEditor, теряются, когда я отображаю их как:

<%= sanitize(profile.body) %>

Мой вопрос: безопасно ли разрешать анализ атрибута 'style'? Это позволит отображать такие вещи, как цвет текста, размер, цвет фона, центрирование, отступ и т. Д. Я просто хочу быть уверен, что это не позволит хакеру получить доступ к тому, о чем я не знаю!

1 Ответ

15 голосов
/ 21 марта 2011

безопасно ли разрешать анализ атрибута 'style'?

номер

background-image: url(javascript:[code]);
width: expression([code]);                  /* ie */
behavior: url([link to code]);              /* ie */
-moz-binding: url([link to code]);          /* ff */

Не говоря уже об атаках, подделывающих пользовательский интерфейс, таких как размещение ложной формы входа поверх реальной или чего-то еще.

...