問題のページはパスワードで保護されていますが、考えさせられました。Wymeditor J-Query プラグインを試してみると、かなりうまく機能し、山かっこを html 文字などに自動的に変換することで XSS スクリプトの試行を処理します。
明らかに、直接アクセスすると、ユーザーは JavaScript を無効にしてから、あらゆる方法で悪意のあるタグを DB に挿入できます。しかし、自動化されたスクリプトがパスワード保護を購入できた場合、javascript を無効にして、DB 情報が別のページに表示されたときに実行される悪意のあるスクリプトを DB に挿入することは可能でしょうか??
* アップデート *
もう少し広げた方がいいかもしれません。私は通常、strip_tags() を使用して準備済みステートメントを使用しますが、Wymeditor をクライアントに使用するには、strip_tags() を使用できません。悪意のあるコンテンツを削除するコードを書くことができることはわかっていますが、探している悪意のあるコンテンツがどれだけあるかはわかりません。 .
ルール 1:ユーザー データを信頼しない。
当然の結果: クライアント側から来るものはすべて、ページがブラウザー内でどのような手段を講じても、ユーザー データです (自動化されたスクリプトは最初から JS をまったく実行していないか、ページに存在しないフォーム フィールドを挿入する可能性があります)。
そのため、JS エディターによってサイトの安全性が低下することはありませんが、追加のセキュリティも提供されません。クライアント側の対策 (JS 入力フィルタリングなど) はユーザーの利便性のみを目的としており、まったく保護を提供しません。クライアント側に関係なく、サーバー側でユーザー入力をサニタイズする必要があります。
データベースに入る必要check your data upon insertがあります...クライアント側のスクリプトはあなたを保護できません。Wymeditor は入力を簡単にし、大いに役立ちますが、一部のハッカーが挿入しようとする悪意のあるコードからユーザーを保護することはできません。したがって、強力なサーバー側のチェックを行う必要があります。