1
내 온라인 편집자로 TinyMCE를 사용하고 있지만 XSS 공격 등을 우려합니다. <과 >을 모두 바꿔 치기는하지만 이런 종류의 옵션은없는 것 같습니다. 편집기와 나는 스크립트 태그를 제거하는 것으로도 충분하지 않은지 (onclick, onmouseover 및 다른 이벤트는 어떨까요).WYSIWYG 및 XSS
그런 공격을 피하려면 어떻게해야합니까?
A
답변
1
이론적으로 이처럼 XSS를 없앨 수는 있지만 실제로는 어렵습니다. 항상 간과 한 것 같습니다.
가장 좋은 방법은 정규 표현식을 사용하여 지정한 특정 태그 (<strong>, <em> etc) 만 사용하고 다른 모든 태그는 제거하는 것입니다. 또한 문자 인코딩 사용자가 자신의 보호를 우회하려는 시도를 찾아야합니다.
2
보안, 편의를 선택해야합니다. TinyMCE와 같은 WYSIWYG 편집기는 매우 편리합니다. 전문가가 아닌 사용자도 웹 인터페이스를 사용하여 HTML 태그가 있거나없는 콘텐츠를 업데이트 할 수 있습니다. html을 업데이트하는 것이 기술적이지 않은 기술자를 허용하는 게으른 방법이며 모든 종류의 위험 요소가 있습니다. 사용자가 데이터베이스에 TinyMCE 인터페이스에 액세스 할 수있게하면 데이터베이스 클라이언트에서 데이터베이스의 데이터를 직접 업데이트하는 것과 동일합니다. 또한
, 즉 등 타사 도메인
에 스크립트 참조를 필요로 사실 페이스 북, 링크드 인, 유튜브 등 통합에 악성 아닌 크로스 사이트 스크립팅의 큰 거래가 오늘주의TinyMCE 도구를 강화하여 XSS를 추가 할 수 없으면 많은 시나리오에서 심각한 웹 개발자에게는 쓸모가 없습니다.
그러나 추가/편집/업데이트/삭제 편집기 XSS를 작성해야 할 경우 모든 입력의 유효성을 검사하고 위생적으로 검사해야하며 사용자가 직접 선택해야합니다.
관련 문제
- 1. XSS 공격 방지 기능이있는 모든 WYSIWYG 편집기?
- 2. 결제 게이트웨이 및 XSS
- 3. setAttribute() 및 XSS
- 4. WYSIWYG vs WYSIWYM
- 5. XSS 예방, Tidy vs Purifier?
- 6. 브라우저 WYSIWYG 모범 사례
- 7. Kohana 및 jQuery WYSIWYG 편집기
- 8. PHP XSS 예방 화이트리스트 작성
- 9. DataBinder.Eval의 XSS
- 10. jsbin.com의 XSS
- 11. XSS 정규식
- 12. Ruby on Rails 및 XSS 예방
- 13. PHP_SELF 및 SCRIPT_NAME - XSS 공격 버전
- 14. ASP.NET 사용자 정의 컨트롤, ObjectDataSources 및 XSS
- 15. Doxygen의 WYSIWYG
- 16. wysiwyg 편집기
- 17. WYSIWYG 편집기에서 HTML을 렌더링해야 할 때 XSS 공격을 방지하는 방법은 무엇입니까?
- 18. xss 문서의 CSS
- 19. HTML 편집자 WYSIWYG 및 HTML 조각
- 20. Google Wave like WYSIWYG
- 21. wysiwyg contenditable createRange surroundContents
- 22. XSS (Cross Site Scripting)
- 23. XSS 고문 테스트 - 존재합니까?
- 24. XSS PHP 로그 필터?
- 25. PHP로 XSS 예방하기
- 26. DOM XSS 공격 탐지
- 27. XSS 공격의 손상된 이미지
- 28. jQuery XSS 문제
- 29. JS | Xss 방어 질문
- 30. XSS 공격과 스타일이 같은