Wir haben WYSIWYG Editor für mehr verwendet, als ich mich erinnern kann. Einfaches Einfügen eines Javascript in diese Art von Editor machen es zu einer sitzenden Ente für XSS-Angriffe.Jeder WYSIWYG-Editor mit XSS-Angriffsprävention?
Kennen Sie einen WYSIWYG-Editor, der in XSS-Präventionsfunktionen integriert ist?
Lösungen und Vorschläge sind willkommen.
Ein WYSIWYG-Editor ist alles clientseitig (es sei denn, es ist mit einigen Serverkomponenten gepackt, die plattformspezifisch sind). Sie können nicht vor Benutzerangriffen von der Client-Seite schützen; Benutzer können den Editor immer überspringen und ihr XSS direkt in der HTTP-Anfrage veröffentlichen.
Sie möchten niemals Informationen bei der Eingabe oder bei der Speicherung wegwerfen. Alles, was Sie tun, um XSS zu verhindern, sollte passieren, wenn Sie die Benutzereingabe wieder auf den Bildschirm zurückschreiben. Der einfachste Weg ist, einfach alles zu kodieren. Offensichtlich muss auf einer Site wie Stackoverflow, bei der einige Benutzereingaben eventuell als Markup geschrieben werden müssen, diese zuerst bereinigt werden.
Wenn wir mehr darüber wissen, welche Plattform Sie verwenden, können wir Ihnen wahrscheinlich einige gut getestete, bewährte Bibliotheken empfehlen, die das tun, was Sie brauchen.