5

私はリッチテキストエディター(CKEditor)を使用しており、他のユーザーに表示されるプロファイルをユーザーが作成できるようにする機会があります。

CKEditorが制御できる属性の多くは、次のように表示すると失われます。

<%= sanitize(profile.body) %>

私の質問は、属性「style」を解析できるようにするのは安全ですか?これにより、テキストの色、サイズ、背景色、中央揃え、インデントなどを表示できます。ハッカーが私が知らないものにアクセスできないようにしたいだけです。

4

1 に答える 1

15

属性「style」を解析できるようにするのは安全ですか?

いいえ。

background-image: url(javascript:[code]);
width: expression([code]);                  /* ie */
behavior: url([link to code]);              /* ie */
-moz-binding: url([link to code]);          /* ff */

偽のログインフォームを実際のログインフォームなどの上に配置するなどのUIスプーフィング攻撃は言うまでもありません。

于 2011-03-20T21:41:15.687 に答える