Вопрос о безопасности TinyMCE: Как Вы предотвращаете злонамеренный вход?
Как Вы предотвращаете злонамеренный вход в WYSIWYG-редакторах как TinyMCE?
У меня есть система с пользователями, которые не "технически подкованы" (так никакой WMD) и нуждаются в визуальном редакторе, который отправляет его содержание в базу данных.
Я волнуюсь по поводу сценариев нападений и злонамеренного входного кода.
3 ответа
Если вам нужен только безопасный HTML-код, вам следует использовать Очиститель HTML . Если вы хотите защитить от XSS и заблокировать весь HTML-код, вам следует использовать $ var = htmlspcialchars ($ var, ENT_QUOTES);
Вы не можете предотвратить этот ввод со стороны клиента. Вы можете добавить вещи, которые мешают (или попробовать), но всегда будет тривиально отправить вредоносный код. Вам НЕОБХОДИМО провести дезинфекцию в PHP.
ВСЕГДА ВСЕГДА ВСЕГДА избегайте содержимого, отправленного пользователем, перед его отображением ( htmlentities обычно позаботятся об этом за вас).
Если вы хотите иметь возможность отправлять HTML (как вы говорите, вы хотите WYSIWYG), тогда вам нужно очистить белый список HTML, который был отправлен. Когда я говорю «белый список», я имею в виду и имя тега, и атрибут.
Я не так хорошо знаком с CodeIgniter, но нашел этот , который, похоже, может делать то, что вы хотите ...