5

我正在使用富文本编辑器 (CKEditor),我有机会让用户创建显示给其他用户的配置文件。

当我将 CKEditor 可以控制的许多属性显示为:

<%= sanitize(profile.body) %>

我的问题是:允许解析属性“样式”是否安全?这将允许显示文本颜色、大小、背景颜色、居中、缩进等内容。我只是想确保它不会允许黑客访问我不知道的东西!

4

1 回答 1

15

允许解析属性“样式”是否安全?

不。

background-image: url(javascript:[code]);
width: expression([code]);                  /* ie */
behavior: url([link to code]);              /* ie */
-moz-binding: url([link to code]);          /* ff */

更不用说 UI 欺骗攻击,例如将虚假登录表单放置在真实登录表单或其他东西上。

于 2011-03-20T21:41:15.687 回答