2
我正在使用劍道編輯器。如果我寫入任何html數據,如:<img src=x onerror=alert(0) >作爲輸入。腳本正在執行。意味着劍道編輯器不安全。我如何在客戶端編碼值?如何編碼劍道編輯器字段?
在此先感謝。
A
回答
0
我不認爲這裏的問題是如此之多,以至於Kendo編輯器不安全,更多的是JavaScript片段首先將它放到了頁面上。
在初始化時,Kendo編輯器只是將輸入值逐字複製並在編輯器中包含的iFrame中使用它,因此腳本會執行。
通常,您將在顯示之前對用戶內容服務器端進行編碼/清理。這是您的網站生成HTML頁面,因此您可以完全控制輸出,並且需要確保潛在危險的值不會首先添加到輸入值中。
這可能是值得看看Microsoft's AntiXSS offering。
相關問題
- 1. 劍道UI - 編輯
- 2. 劍道UI編輯器 - 編碼真不起作用財產
- 3. 劍道MVC的ListView編輯
- 4. 劍道編輯器模板(網格)
- 5. pdf導出劍道編輯器
- 6. 劍道編輯器不在裏面劍道標籤條
- 7. 劍道網格動態字段可編輯定義
- 8. 動態添加代碼片斷編輯器工具欄劍道
- 9. 如何自定義劍道編輯器工具的安排?
- 10. 如何使用不帶ID和名稱的劍道編輯器?
- 11. 劍道UI電網彈出編輯表單模板 - 如何隱藏編輯某些字段,而不是添加
- 12. MVC劍道timepicker值null當我編輯劍道grid
- 13. 劍道網 - 編輯爲重複一個
- 14. 無法編輯劍道網格
- 15. 劍道:MVC4 ComboBox限制內容編輯
- 16. 劍道UI電網聯編輯,與editorTemplate
- 17. 在劍道網格中禁用編輯
- 18. 劍道網編輯虛假不工作
- 19. 劍道與X可編輯網格?
- 20. 劍道網格批量編輯
- 21. eclipse字段編輯器的密碼
- 22. 如何使用GWT編輯器框架編輯多值字段?
- 23. CRYSTAL XI字段編輯器
- 24. 編輯字段
- 25. 編輯字段
- 26. Parse.com不能編輯信道字段
- 27. 軌道4路由與編輯字段
- 28. 劍道網 - 如何打開彈出編輯窗口用JavaScript
- 29. 如何加載視圖彈出編輯劍道電網
- 30. 如何從劍道編輯文本區域
你如何輸入?你想如何編碼? – 2013-03-08 08:51:30
嗨@AtanasKorchev請檢查jsfiddle鏈接 http://jsfiddle.net/piyushparmar01/KuQvs/57/ 在這裏,我收到警報消息。我將HTMl腳本添加到了kendo編輯器中,但它正在執行中。 – Piyush 2013-03-08 09:15:15
如果我從服務器端進行編碼,則用戶可以查看相同的編碼數據。 – Piyush 2013-03-08 09:52:07