我的情況有點不同,我使用CKEditor進行編輯和顯示的東西,提交的字符串將只顯示在CKEditor內,無處。xss預防與ckeditor
我想這XSS:
<IMG """><SCRIPT>alert("XSS")</SCRIPT>">
我已將此添加到數據庫直接從後端,而不是CKEditor的,因爲我知道這並不重要的CKEditor再進數據庫作爲攻擊者總是可以發送一些原始的http請求而不處理CKEditor。
令我驚訝的CKEditor顯示我:
{cke_protected_1}">
所以CKEditor的是做一些,以防止XSS,我意識到了XSS安全可以從客戶端來實現。
我的問題是,如何好是CKEditor的做,如果它是可靠的,如果我只用無屬性標記加
<a><img><table><span><pre>
(<a> and <table> could be disabled if it makes things easier)
PS:本CKEditor的使用默認設置。
檢查相同的博客http://tekina.info/xss-filtering-ckeditor/ –