1
我使用TinyMCE的我的在線編輯器,但我擔心的XSS攻擊等。 我雖然更換所有<和>,但是這似乎並不符合這樣的一個選項編輯器,我不確定刪除腳本標記是否足夠(onclick,onmouseover和其他事件)。所見即所得和XSS
我該如何避免此類攻擊?
A
回答
1
從理論上講,你可以像這樣消除XSS,但實際上很難。總會有一些你忽視的東西。
我發現最好的方法是使用正則表達式來只允許使用某些標籤您指定(<strong>, <em> etc),並刪除所有其他人。您還需要尋找嘗試繞過用戶編碼字符的保護措施。
2
你必須選擇,安全或方便。像TinyMCE這樣的所見即所得編輯器非常方便。它允許非專家使用Web界面來更新一些帶或不帶html標籤的內容。它是懶惰的方式,允許非技術人員更新html,並帶有各種危害。 當您允許用戶訪問您的數據庫的TinyMCE接口時,它絕對等於給他們一個數據庫客戶端來直接更新數據庫中的數據。
也注意到,今天有跨站點腳本的很大,是不是惡意的,這其實是在臉譜,LinkedIn,YouTube上,等整合,需要第三方域等
腳本引用因此,如果您強化TinyMCE工具,以便無法添加XSS,那麼在許多情況下,對於認真的Web開發人員來說,這將毫無用處。
但是,如果您需要創建一個添加/編輯/更新/刪除編輯器XSS證明,您需要驗證和消毒所有輸入,您的最佳選擇是推出自己的。
相關問題
- 1. 所見即所得vs所見即所得
- 2. 任何所見即所得編輯器與XSS攻擊預防?
- 3. 所見即所得編碼
- 4. 樂譜所見即所得
- 5. Insert Bootstrap所見即所得
- 6. jQuery UI所見即所得?
- 7. 所見即所得的JavaScript
- 8. 所見即所得在Chrome
- 9. Magento 1.7所見即所得
- 10. Drupal和TinyMCE + Filemanager所見即所得
- 11. 自動摘錄所見即所得
- 12. 所見即所得沒有HTML標籤?
- 13. 所見即所得的編輯按鈕
- 14. TWIKI所見即所得編輯器
- 15. 最佳ASP.net所見即所得
- 16. 所見即所得html編輯查詢
- 17. Drupal所見即所得自動刪除
- 18. Google Wave像所見即所得
- 19. Asp.net MVC所見即所得EditorTemplate
- 20. 所見即所得刪除標記
- 21. JavaScript所見即所得的實現
- 22. Android - 是不是Eclipse所見即所得?
- 23. 所見即所得/ PageDown混合?
- 24. Rails或Jquery所見即所得
- 25. 所見即所得XML編輯器java
- 26. jQuery + InnovaStudio所見即所得編輯器
- 27. 所見即所得編輯器爲XUL
- 28. Winform的所見即所得控件
- 29. 所見即所得CSS編輯?
- 30. Drupal 7的所見即所得添加