剣道エディタを使用しています。: のような html データを<img src=x onerror=alert(0) >入力として書き込むとします。スクリプトが実行されています。剣道エディタが安全でないことを意味します。クライアント側で値をエンコードするにはどうすればよいですか?
前もって感謝します。
1503 次
1 に答える
0
ここでの問題は、Kendo エディターが安全でないということではなく、そもそも JavaScript のフラグメントがページに組み込まれているということだと思います。
初期化時に、Kendo エディタは入力値を逐語的にコピーし、エディタ内に含まれる iFrame 内で使用するため、スクリプトが実行されます。
通常は、ユーザー コンテンツを表示する前にサーバー側でエンコード/サニタイズします。HTML ページを生成するのはあなたの Web サイトであるため、出力を完全に制御でき、潜在的に危険な値が入力の値に最初から追加されないようにする必要があります。
Microsoft の AntiXSS 製品を調べる価値があるかもしれません。
于 2013-03-13T11:16:39.990 に答える