我正在使用富文本编辑器(CKEditor),我有机会让用户创建向其他用户显示的配置文件。
当我将它们显示为:
时,CKEditor可以控制的许多属性都会丢失<%= sanitize(profile.body) %>
我的问题是:允许解析属性'style'是否安全?这将允许显示诸如文本颜色,大小,背景颜色,居中,缩进等的事物。我只是想确定它不允许黑客访问我不知道的东西!
答案 0 :(得分:15)
允许解析属性'style'是否安全?
没有
background-image: url(javascript:[code]);
width: expression([code]); /* ie */
behavior: url([link to code]); /* ie */
-moz-binding: url([link to code]); /* ff */
更不用说UI欺骗攻击,例如将虚假登录表单放在真实的某个或类似的东西上。