針對跨站點腳本的TinyMce保護

Question

我們計劃在JSP中使用TinyMce。

我們有一個標準的安全過濾器，用於跟蹤表單中的輸入數據。 它識別嘗試任何入侵/跨站點腳本的不安全代碼輸入。

我的問題如下：

• 當使用TinyMCE的是否有任何第三方庫（付費或開放源碼），這將有助於掃描和識別任何不安全的代碼，試圖跨站點腳本？

（我發現一個鏈接在StackOverflow上提一個PHP庫，但我一直在尋找Java的東西。）

• 如果我們沒有任何辦法，以確保TinyMCE的，那麼究竟是一般的必須採取哪些設計考慮才能使其儘可能安全？

Answer 1

SQL注入應該是您在數據層而不是您的前端擔心的問題。如果您在將數據插入數據庫時​​使用適當的技術來防止SQL注入，則不必擔心使用TinyMCE或前端代碼的其他任何部分執行任何操作。

另一方面，跨站腳本攻擊則是另一回事。防止跨站點腳本攻擊的最佳策略通常是HTML-Encode 所有，您不會在前端圖層中生成該代碼。但是，由於您使用的是TinyMCE，我猜想您希望允許用戶生成的HTML出現在您的網站上。在這種情況下，您需要查看「HTML消毒」。

這裏有幾個環節開始你了：

• Libs for HTML sanitizing
• How to sanitize HTML code in Java to prevent XSS attacks?

你可以決定你是否喜歡它保存到數據庫之前，消毒HTML，後從數據庫中檢索它，或兩者。每種策略都有優點和缺點。