Sa fejn innutajt TinyMCE huwa stess jaħrab mill-karattri meta, u juża htmlspecialchars () wara se jħammġu biss l-output u juru
Allura għandi nuża validazzjoni xierqa min-naħa tas-server, imma eżattament - kif ] - nista 'nagħmel dan sewwa meta nikkunsidra l-eluf ta' tekniki XSS hemmhekk? Hemm xi mod effiċjenti li jaħdem għal TinyMCE, bħal "billi tuża htmlspecialchars () flimkien ma 'TinyMCE?"
S'issa għamilt lista bajda għat-tikketti HTML permessi, issostitwixxiet kwalunkwe javascript:
u simili : vojt
fil-kontenut biex tipprova tipproteġi kontra Javascript inline bħal onClick = "javascript: void (alert (" XSS "));"
, imma nħoss li dan mhux biżżejjed.
Kwalunkwe parir dwar is-suġġett ikun apprezzat ħafna, imma ftakar li ċertu kontenut jeħtieġ li jintwera sewwa fuq l-output, huwa għalhekk li nuża TinyMCE fil- l-ewwel post. Jeħtieġ biss li nkun protett kontra l-XSS.
Ukoll, waqt li tkun dwar is-suġġett; kif nista 'nipproteġi ruħi kontra CSS XSS bħal style = "background-image: url (XSS hawn);"
?