代码之家  ›  专栏  ›  技术社区  ›  Abu Aqil

有没有防XSS攻击的WYSIWYG编辑器?

wysiwyg xss
  •  1
  • Abu Aqil  · 技术社区  · 16 年前

    我们使用所见即所得编辑器的时间已经超过了我的记忆。在这种编辑器中轻松地粘贴javascript会让它成为XSS攻击的替罪羊。

    有人知道任何WYSIWYG编辑器比集成XSS预防?

    欢迎提出解决方案和建议。

    1 回复  |  直到 16 年前
        1
  •  4
  •   Rex M    16 年前

    所见即所得编辑器都是客户端的(除非它与某些特定于平台的服务器组件一起打包)。您无法防止来自客户端的用户攻击;用户始终可以跳过编辑器并将其XSS正确地发布在HTTP请求中。

    您永远不想在输入或存储阶段丢弃信息。当您编写用户输入时,您为防止XSS所做的一切都应该发生 退后 对着屏幕。最简单的方法是简单地对所有内容进行编码。显然,在像Stackoverflow这样的站点上,有些用户输入最终需要作为标记写入,因此需要先清除它。

    如果我们进一步了解您正在使用的平台,我们可能会推荐一些经过良好测试、经过验证的库来满足您的需要。

    推荐文章
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号