我们一直在使用WYSIWYG编辑器。在这种编辑器中轻松粘贴javascript使其成为XSS攻击的牺牲品。
任何人都知道任何WYSIWYG编辑器而不是与XSS预防相结合吗?
欢迎提供解决方案和建议。
答案 0 :(得分:4)
WYSIWYG编辑器都是客户端(除非它与一些服务器组件一起打包,这是特定于平台的)。您无法防止来自客户端的用户攻击;用户可以随时跳过编辑器并在HTTP请求中发布他们的XSS。
您永远不想在输入或存储阶段丢弃信息。当您将用户输入退出写入屏幕时,您所做的一切都是为了防止XSS。最简单的方法是简单地编码所有内容。显然,在像Stackoverflow这样的网站上,一些用户输入最终需要作为标记写入,需要先擦除它。
如果我们对您正在使用的平台有更多了解,我们可能会推荐一些经过充分测试的,经过验证的库,可以满足您的需求。