Javascript Girl
  1. Javascript Girl
  3. Question de sécurité TinyMCE: Comment empêchez-vous les intrus malveillants?
Intereting Posts
Comment étendre un objet tout en ignorant les valeurs nulles? Que fait (function ($) {}) (jQuery); signifier? Comment zoomer / sortir d3.time.scale sans mise à l'échelle d'autres formes liées à la chronologie Le moyen recommandé d'activer les événements tactiles dans Bootstrap 3? Rails personnalisé Twitter Bootstrap modal pour la méthode de suppression, Problème avec rappel Le cookie est réglé deux fois; Comment supprimer le double? Événement de changement de texte Jquery Comment faire pour masquer le texte qui chevauche les étiquettes dans D3 Zoomable Pack Layout? Ember.js Erreur ArrayController Comment puis-je définir un attribut sur un élément spécifique lors de l'utilisation d'une boucle for dans javaScript? Accroissement lisse Est-ce que le suivi de l'emplacement est une solution pour l'historique des applications XHR? Supprimez le gestionnaire d'événements délégué jQuery sur un objet spécifique Comment obtenir un élément par sa href dans jquery? Obtenez le HTML brut du contenu sélectionné en utilisant javascript

Question de sécurité TinyMCE: Comment empêchez-vous les intrus malveillants?

Comment éviter les entrées malveillantes dans les éditeurs WYSIWYG comme TinyMCE?

J'ai un système avec des utilisateurs qui ne sont pas "tech savvy" (donc pas de WMD) et ont besoin d'un éditeur de texte enrichi qui publie son contenu dans une base de données.

Je suis préoccupé par les attaques de script et le code de saisie malveillant.

Si vous voulez seulement un html sécurisé, vous devez utiliser le Purificateur HTML . Si vous souhaitez protéger contre XSS et bloquer tout html, vous devez utiliser $var=htmlspcialchars($var,ENT_QUOTES);

Vous ne pouvez pas empêcher cette entrée du côté client. Vous pouvez ajouter des choses pour vous mettre dans la manière (ou essayer), mais il sera toujours trivial de soumettre un code malveillant. Vous avez besoin de désinfecter en PHP.

TOUJOURS TOUJOURS TOUJOURS échappé au contenu envoyé par l'utilisateur avant de l'afficher ( htmlentities prend généralement soin de cela pour vous).

Si vous voulez que le HTML soit soumis (comme vous le dites WYSIWYG), vous devrez désinfecter le HTML qui a été soumis. Quand je dis white-list, je veux dire à la fois le nom et l'attribut de la balise.

Je ne suis pas familier avec CodeIgniter, mais j'ai trouvé ce qui semble qu'il peut faire ce que vous voulez …

Utiliser le plugin de validation JQuery