내 상황이 약간 다르기 때문에 편집하고 표시하는 데 CKEditor를 사용하고 있으며 제출 된 문자열은 CKEditor 내부에만 표시됩니다. ckeditor로 xss 예방
나는이 XSS 시도 :<IMG """><SCRIPT>alert("XSS")</SCRIPT>">
나는 CKEditor는 공격자로 데이터베이스에 가기 전에 무엇을 중요하지 않습니다 알고 있기 때문에 내가 직접 백엔드에서,하지 CKEditor하여 데이터베이스에이 추가를 할 수 항상 CKEditor를 다루지 않고 원시 HTTP 요청을 보냅니다. 내 깜짝 CKEditor으로
나에게 보여줍니다이 :
{cke_protected_1}">
그래서 CKEditor는 XSS를 방지하기 위해 뭔가를하고있다, 그리고 나는 XSS 보안 클라이언트 측에서 얻을 수있는 것을 깨달았다.
내 질문은 CKEditor 일을 얼마나 좋아, 내가는없는 속성 태그를 사용 플러스
<a><img><table><span><pre>
(<a> and <table> could be disabled if it makes things easier)
PS 경우 신뢰할 수의 경우 : CKEditor는 기본 설정을 사용하고 있습니다.
동일한 블로그를 확인하십시오 http://tekina.info/xss-filtering-ckeditor/ –