1
我熟悉將粗體文本轉換爲HTML標籤的CKEditor <strong>。其他編輯(如本網站的編輯)使用Markdown格式,我看到用星號代替粗體文本,而不是像這樣的HTML **text**。與其他文本編輯器相比,使用Markdown的文本編輯器更安全
Sp是否意味着使用降價編輯器可以默認保護您在該用戶輸入中的任何XSS?我認爲是(這是我想使用降價編輯器而不是ckeditor的主要原因),但要仔細檢查。
A
回答
3
根據此:http://michelf.com/weblog/2010/markdown-and-xss/
它不會逃避XSS缺省
3
沒有XSS安全客戶端編輯器。即使編輯器不允許插入任意HTML,對於某人繞過編輯器並提交任意HTML也非常容易。
唯一安全的解決方案是清理服務器上的HTML。沒問題。
相關問題
- 1. 使用文本編輯器編輯服務器中的文件
- 2. 文本編輯器
- 3. Markdown編輯器與表
- 4. 文本格式與android中的web文本編輯器相似
- 5. aspx的文本編輯器?
- 6. Monodevelop的文本編輯器
- 7. rails_admin的文本編輯器
- 8. CMS的文本編輯器
- 9. 用文本編輯器打開加密文件是否安全
- 10. SFML全屏文本編輯器
- 11. svg文本的文本編輯器
- 12. 查找Cookie文件並用記事本/其他編輯器編輯它們
- 13. 文本編輯器Require.js
- 14. 文本編輯器 - Asp.net mvc
- 15. Java文本編輯器Api
- 16. 投影文本編輯器?
- 17. Jquery WYSIWYG文本編輯器
- 18. Flash文本編輯器?
- 19. Android文本編輯器
- 20. Interlinear文本編輯器
- 21. Eclipse PDE:xml文本編輯器
- 22. jquery文本編輯器
- 23. 協作文本編輯器
- 24. Wicket富文本編輯器
- 25. Intellij像文本編輯器
- 26. 文本編輯器php MYSQL
- 27. jquery文本編輯器
- 28. 富文本編輯器
- 29. 富文本編輯器
- 30. 腳本編輯器/文件
沒錯。更好的問題是,僅支持**原價降價帖子是否會爲您提供更好的XSS保護(與HTML條目相比),我認爲答案是肯定的。 – Darien 2011-05-31 21:11:18
@Darien:不,你可以在你的markdown內嵌入HTML,所以你仍然必須解析markdown去掉HTML。 – mikerobi 2011-05-31 21:13:11
@Darien'只有原始markdown帖子'意味着用戶鍵入'**粗體文本**',但它不會被轉換爲**粗體文本**,它保持原樣並且讀者將其讀爲**粗體文本**'?如果這是你的意思,我不認爲這會非常吸引人。它根本沒有造型,而且毫無意義。 – sameold 2011-05-31 21:54:20