我们使用 WYSIWYG 编辑器的时间超出了我的记忆。在这种编辑器中轻松粘贴 javascript 使其成为 XSS 攻击的坐鸭。
任何人都知道任何所见即所得的编辑器,而不是与 XSS 预防集成?
欢迎提出解决方案和建议。
问问题
1392 次
1 回答
4
所见即所得的编辑器都是客户端的(除非它与某些特定于平台的服务器组件一起打包)。您无法防御来自客户端的用户攻击;用户总是可以跳过编辑器并在 HTTP 请求中直接发布他们的 XSS。
您永远不想在输入或存储阶段丢弃信息。当您将用户输入写回屏幕时,您为防止 XSS 所做的一切都应该发生。最简单的方法是简单地对所有内容进行编码。显然,在像 Stackoverflow 这样的网站上,一些用户输入最终需要作为标记写入,因此需要先对其进行清理。
如果我们对您使用的平台有更多了解,我们可能会推荐一些经过充分测试、经过验证的库来满足您的需求。
于 2009-08-07T02:03:00.297 回答