5
我正在使用富文本編輯器(CKEditor),我有機會讓用戶創建顯示給其他用戶的配置文件。<span style = ...>是否安全衛生?
許多屬性CKEditor的可以控制的,當我顯示它們正在喪失:
<%= sanitize(profile.body) %>
我的問題是:是否有安全允許屬性「風格」將被解析?這將允許顯示文本顏色,大小,背景顏色,居中,縮進等內容。我只是想確保它不會讓黑客訪問我不知道的東西!
A
回答
15
是否可以安全地允許解析屬性'style'?
號
background-image: url(javascript:[code]);
width: expression([code]); /* ie */
behavior: url([link to code]); /* ie */
-moz-binding: url([link to code]); /* ff */
更不用說像在一個真正的人或事物虛假的登錄表單將UI欺騙攻擊。哈哈!
相關問題
- 1. 更改<span style> ckeditor
- 2. 僅匹配「<span>東西</span>行尾」,而不是「<span>東西</span></span>」
- 3. <span></span>表
- 4. 整潔轉換<span style =「font-style:bold」>到<Class="C1">
- 5. <style type =「text/javascript」>是否有用?
- 6. 是否列表<BlockingCollection <T>>線程安全嗎?
- 7. gsl :: span <T>和gsl :: span <const T>過載是ambigous
- 8. <text>與<span>
- 9. '<seg>`和`<span>`
- 10. 點擊<span>
- 11. 添加<span> +</ span>標籤<a>標籤
- 12. 如何在原生javascript中實現$(「<div class='wrapper'><span>Somw text</span></div>」)?
- 13. 的Rails:</p> <pre><code><a class="lozenge-button h25 blue" href="#"> <span class="left"></span> <span class="center">Send</span> <span class="right"></span> </a> </code></pre> <p>但是在Rails的這些錨不會爲Ajax表單的工作:通過錨點擊
- 14. <span></span>大幹快上IE8忽略,而不是在Mozilla
- 15. 爲什麼<style>塊被認爲是不安全的標記?
- 16. 使用<noscript>是否存在安全風險?
- 17. 將百里香分爲<style>< /style>
- 18. 正則表達式的<br更換<br style="..."> style="..."/>
- 19. Chrome for iOS vs. <style> height:100vh;</style>
- 20. 部隊<span>留在
- 21. <span></span>標籤和在.css中使用span有什麼區別?
- 22. 刪除<a></a>之間的文本但不是href或<span></span>使用PHP
- 23. wp_nav_menu添加<span></span>標籤內<a></a>標籤是父母
- 24. 什麼是::之後在這裏做:<div class=foo><span>bar</span>::after</div>
- 25. 刪除<style>標籤<head>
- 26. 如何使用PHP和正則表達式替換<span style =「font-weight:bold;」> foo</span> by <strong>foo</strong>?
- 27. <span>段落
- 28. 在html中使用<style>和<script> ...是否真的很糟糕?
- 29. 什麼是<span>內容</span> == $ 0意味着在html?
- 30. 您能擁有<span>在<span>以內?
哈!非常感謝,我有一種感覺:) – sscirrus 2011-03-20 21:43:05
另請參見[CSS注入](http://guides.rubyonrails.org/security.html#css-injection) – Zabba 2011-03-21 00:21:15
這再次表明,您無法安全使用黑名單。如果你還沒有想過在CSS中列入黑名單的規則,你現在就會遇到問題。你甚至不能輸出一個CSS字符串,你真的需要完全解析它,只輸出解析的DOM。 – usr 2011-05-26 18:21:02