我正在寻找有人可以分享有关使用富文本编辑器(例如 YUI 的富文本编辑器)的任何经验。特别是我对如何处理或预防问题感兴趣
- 跨站脚本
- 图像或附件处理
您可以提供链接或网络文章的任何类似问题将不胜感激。
问问题
300 次
1 回答
1
推荐的方法是使用白名单。我们使用Antisamy和一些自定义 XPath 表达式。使用 antisamy,您可以定义允许哪些标签和哪些属性。对于属性,您可以定义有效值列表或描述有效值的正则表达式。白名单可以很好地缓解跨站点脚本的问题。
http://www.owasp.org/有很多关于 Web 应用程序安全性的优秀资源和指南。(因此您可以阅读更多问题,例如跨站点请求伪造、SQL 注入……)
您对图像或附件处理有什么疑问?
于 2009-08-12T07:33:31.963 回答