Was sind Best Practices für die Verarbeitung von WsiWyg-Text aus einem Editor wie dem YUI Rich-Texteditor?

Question

Ich suche nach Erfahrungen, die jemand in Bezug auf die Verwendung eines Rich-Text-Editors wie YUIs Rich-Text-Editor teilen kann. Insbesondere bin ich daran interessiert, wie man mit umgehen oder Probleme verhindern mit

1. Cross Site Scripting
2. Bild oder Befestigungs

Alle ähnlichen Fragen Umgang mit Ihnen, Links zu oder Web-Artikel zur Verfügung stellen kann wäre geschätzt.

Answer 1

Der empfohlene Weg ist die Verwendung von Whitelisting. Wir verwenden dafür Antisamy und einige benutzerdefinierte XPath-Ausdrücke. Mit Antisamy können Sie festlegen, welche Tags und welche Attribute erlaubt sind. Für die Attribute können Sie Listen gültiger Werte oder reguläre Ausdrücke definieren, die einen gültigen Wert beschreiben. Das Problem der Cross-Site-Scripting kann ziemlich gut mit Whitelisting gemildert werden.

http://www.owasp.org/ hat viele gute Ressourcen und Richtlinien zur Sicherheit von Webanwendungen. (So ​​können Sie über weitere Probleme wie Cross Site Request Forgery, SQL-Injektion, ... lesen)

Welche Fragen haben Sie über Bild oder Anhang Handhabung?