我正在使用剑道编辑器。如果我写任何 html 数据,例如 :<img src=x onerror=alert(0) >作为输入。脚本正在执行。表示剑道编辑器不安全。我如何在客户端对值进行编码?
提前致谢。
问问题
1503 次
1 回答
0
我不认为这里的问题是剑道编辑器不安全,更多的是 javascript 片段首先进入页面。
在初始化时,Kendo 编辑器仅逐字复制输入值并在包含在编辑器中的 iFrame 中使用它,因此脚本会执行。
通常,您会在显示之前在服务器端对用户内容进行编码/清理。生成 HTML 页面的是您的网站,因此您可以完全控制输出,并且需要首先确保不会将潜在危险值添加到输入值中。
可能值得研究Microsoft 的 AntiXSS 产品。
于 2013-03-13T11:16:39.990 回答