Protezzjoni kontra XSS meta tuża TinyMCE

Sa fejn innutajt TinyMCE huwa stess jaħrab mill-karattri meta, u juża htmlspecialchars () wara se jħammġu biss l-output u juru

tags u affarijiet simili minflok ma jirrenduhom fil-browser. Hija ħaġa faċli li tintefa Javascript u ddaħħal kodiċi malizzjuż li jingħata meta utent ieħor bil-Javascript mixgħul iżur il-kontenut.

Allura għandi nuża validazzjoni xierqa min-naħa tas-server, imma eżattament - kif ] - nista 'nagħmel dan sewwa meta nikkunsidra l-eluf ta' tekniki XSS hemmhekk? Hemm xi mod effiċjenti li jaħdem għal TinyMCE, bħal "billi tuża htmlspecialchars () flimkien ma 'TinyMCE?"

S'issa għamilt lista bajda għat-tikketti HTML permessi, issostitwixxiet kwalunkwe javascript: u simili : vojt fil-kontenut biex tipprova tipproteġi kontra Javascript inline bħal onClick = "javascript: void (alert (" XSS "));" , imma nħoss li dan mhux biżżejjed.

Kwalunkwe parir dwar is-suġġett ikun apprezzat ħafna, imma ftakar li ċertu kontenut jeħtieġ li jintwera sewwa fuq l-output, huwa għalhekk li nuża TinyMCE fil- l-ewwel post. Jeħtieġ biss li nkun protett kontra l-XSS.

Ukoll, waqt li tkun dwar is-suġġett; kif nista 'nipproteġi ruħi kontra CSS XSS bħal style = "background-image: url (XSS hawn);" ?