我正在使用kendo编辑器。如果我写任何html数据,如:<img src=x onerror=alert(0) >作为输入。脚本正在执行。意味着kendo编辑器不安全。我如何在客户端编码值?
提前致谢。
答案 0 :(得分:0)
我不认为这里的问题太多,以至于剑道编辑器不安全,更多的是javascript片段首先将它放到了页面上。
在初始化时,Kendo编辑器只是逐字复制输入值并在编辑器中包含的iFrame中使用它,因此脚本会执行。
通常,您会在显示之前对用户内容服务器端进行编码/清理。这是您的网站,它生成HTML页面,因此您可以完全控制输出,并且需要确保首先将潜在危险值添加到输入值中。