どのような利用fckEditorを安全になく、リスクのクロスサイトスクリプティング?
質問
このリンクを記述する活性の私にはアプリを使用fckEditor:http://knitinr.blogspot.com/2008/07/script-exploit-via-fckeditor.html
くの、めんどくさいんだよなーマアプリの安全な使用fckEditor?これはfckEditorます。では一部加工になっていないサーバ側の後、グラブのテキストからfckEditor?
このパズルではfckEditor 用途 htmlタグのフォーマットだったので、なHTMLコード化した時の表示をします。
解決
サニタイズhtmlサーバ側の、他にはない。すると、ファイルタイプを表す HTML清浄機, は、.純わかりません。このトリッキーなサニタイズするHTMLではないのに十分なストリップスクリプトタグ、出場※イベントハンドラでは、stupiditiesのIEです。
またカスタムhtmlとcssでハイジャックを見て、あなたのレイアウトサイトをオーバーレイ(絶対位置)すべての分野をカバーする画面。を作成します。
他のヒント
バグの修正はないのでFCKeditorsます。とできるようになってしまいますユーザーが編集HTMLが表示されウェブサイトの一部も常に可能を可能にする"をテーマにな危ない限り、自分のデータを確認する前に出力します。
一人利用HTMLencodingい、これを破壊するすべてのフォーマットによるFCKeditorないと考えている。
も利用できる Microsoft抗クロスサイトスクリプティング図書館.サンプル MSDN
では一部加工になっていないサーバ側の後、グラブのテキストからfckEditor?
さらに精密にStackOverflowたっての早期の問題に関連するものです。最も簡単な解決方法を使用するためには、ドキュメントを編集するには、図書館の解析をユーザ入力して逃げずタグによってお使いに出力されます。このとして処理ステップ印刷時のページで--データベースのデータは全く同じとしてのユーザー入力ます。
例えば、ユーザー入り <b><script>evil here</script></b>
, は、コードを翻訳する <b><script>evil here</script></b>
前のページです。
や ない 正規表現は利用のために解決することで誘うもの休憩を設定することができます。
FCKEditorを設定できるのだけを使用しています。またエンコードを除くすべての方に少数のタグです。
そのタグ:<strong> <em> <u> <ol> <ul> <li> <p> <blockquote> <font> <span>.
フォントタグだけるべき顔やサイズの属性です。スパンタグすべてのクラスの属性。
他の属性を許可されるべきこれらのタグです。
理解しているDONTS.私は乏しい。
は使用FCKEditor必要条件であり、または使用できる異なるエディター/マークアップ養成講座を開催します。アドバイスをしていを値下げおよび大量破壊兵器の編集者と同じ言葉を使用していStackOverflow.の図書館の値下げします。ネットオプションによる逃がすべてのHTMLタグ--必ずoffできるようになっています。
クロスサイト-スクリプティングは難しいことです。であることも読む:
とにかく、私の概要は、長期にわたってこいのみ可能で厳重に受け入れの項目にできない拒否する既知の攻撃ベクトルではまずまるのではなく、それぞれの永遠の苦労を経験することになり
私の一部ではないことFckeditorのみ変数タグです。このナイーブを前提悪ユーザーの利用Fckeditor書は彼の故意。のツールできるマニュアルの変更の入力は多数ある。
扱うすべてのユーザーデータとして汚染された;利用の値下げによる変換テキストをHTML.でsanitizes HTMLのテキストが軽減でき、故意。