Question

Я знаком с CKEditor, который преобразует жирный текст в теги HTML <strong>.Другие редакторы (например, редактор на этом сайте) используют форматирование Markdown, и я вижу жирный текст, завернутый в звезды вместо HTML, как это **text**.

Sp означает ли это, что использование редактора уценки защищает вас по умолчанию от любого XSS в этом пользовательском вводе?Я думаю, что да (что является основной причиной, по которой я хочу использовать редактор уценок, а не ckeditor), но хочу перепроверить.

mikerobi · Answer 1 · 01 июня 2011

XSS безопасных редакторов на стороне клиента не существует.Даже если редактор не позволяет вставлять произвольный HTML-код, для кого-то тривиально легко обойти редактор и отправить произвольный HTML-код.

Единственное безопасное решение - очистить HTML-код на сервере.

dynamic · Answer 2 · 01 июня 2011

В соответствии с этим: http://michelf.com/weblog/2010/markdown-and-xss/

По умолчанию не работает XSS

Являются ли текстовые редакторы, которые используют Markdown by detault более безопасными, чем другие текстовые редакторы

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Являются ли текстовые редакторы, которые используют Markdown by detault более безопасными, чем другие текстовые редакторы

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы