WYSIWYG エディターは、私が覚えている以上に使用しています。この種のエディターに JavaScript を簡単に貼り付けると、XSS 攻撃の格好のアヒルになります。
XSS 防止と統合された WYSIWYG エディタを知っている人はいますか?
解決策と提案は大歓迎です。
1392 次
1 に答える
4
WYSIWYG エディターはすべてクライアント側です (プラットフォーム固有のサーバー コンポーネントと一緒にパッケージ化されている場合を除きます)。クライアント側からのユーザー攻撃から保護することはできません。ユーザーはいつでもエディターをスキップして、HTTP 要求に XSS を直接投稿できます。
入力フェーズまたはストレージ フェーズで情報を破棄したくありません。XSS を防ぐために行うことはすべて、ユーザー入力を画面に書き戻すときに実行する必要があります。最も簡単な方法は、すべてを単純にエンコードすることです。明らかに、ユーザー入力の一部を最終的にマークアップとして書き込む必要がある Stackoverflow のようなサイトでは、最初にスクラブする必要があります。
使用しているプラットフォームについてもう少しわかっている場合は、十分にテストされ、必要な機能を備えた実証済みのライブラリをお勧めできます。
于 2009-08-07T02:03:00.297 に答える