Обход проверки входных данных TinyMCE с пользовательскими заголовками POST

Question

AFAIK, TinyMCE должен быть самодостаточным с точки зрения XSS, поскольку его редактор запрещает все, что может быть использовано для XSS.

Однако все это делается на стороне клиента, и безопасность полностью зависит отзаголовки POST стали чистыми благодаря TinyMCE.

Что мешает злоумышленнику сделать собственный HTTP-запрос с тегами в заголовках POST HTTP?

У всех, кто использует TinyMCE, также есть обширный анти-XSSбиблиотеки на стороне сервера, чтобы убедиться, что этого не произойдет?Есть ли способ убедиться, что входные данные действительно исходят от TinyMCE, а не от пользовательских заголовков POST?

Само собой разумеется, просто экранировать все с помощью htmlspecialchars () не вариант, так как весьсмысл TinyMCE - позволить пользователям вводить контент в формате HTML.

Answer 1

Вы не можете доверять тому, что приходит со стороны клиента.Злоумышленник может даже изменить TinyMCE, чтобы отключить все, что вы добавили.

На стороне сервера вы можете использовать что-то вроде OWASP AntiSamy или HTMLPurifier, что позволяет указать, какие теги вы разрешаете (теги и атрибуты из белого списка).