Tinymce drošība

[shurix]

Vai ir droši ļaut lietotājam izmantot visas tinymcs funkcijas raksta sagatavošanai? Pie raksta parādīšanas cik sapratu nevar lietot piemēram htmlspecialchars() un tādēļ raksta autors nevar piemēram kādu kaitīgu js scriptu ielikt vai kaut ko tamlīdzīgu? vai arī pret to kaut kā var nodrošināties?

[codez]

Neatkarīgi no tā vai tu ļauj tinymce tās funkcijas vai nē, uz serveri var aizsūtīt jebkādu tekstu, tai skaitā script tagus. To sauc par XSS un script tagi nav nebūt vienīgais veids kā palaist scriptu. Ja gribi, lai būtu visi pieļaujamie tagi, bet visi ļaundabīgie tiktu izfiltrēti, lieto htmlpurifier-i

Edited September 2, 2010 by codez

[shurix]

Hmm it kā uzliku htmlpurifier bet <b>neko parādījās boldā. Vai viņš tikai izņem tos ļaunos scriptus un tāpat jālieto htmlspecialchars pēc tam?

[briedis]

Palasi tak manuāli viņu mājaslapā, tur viss atrunāts.

[codez]

Ja tu lietosi htmlspecialchars , tad tev b nerādīsies boldā, bet kā teksts <b>. HTMLPurifier-s izņem tikai ļaunos kodus, vai precīzāk atstāj tikai pieļaujamos. Tu vari pat konfigurēt, kurus tagus un atribūtus gribi lai atļauj, kurus nē.