我正在寻找有关富文本编辑器(如YUI的富文本编辑器)使用方面的任何经验。特别是我对如何处理或预防
问题很感兴趣您可以提供链接或网页文章的任何类似问题。
答案 0 :(得分:1)
推荐的方法是使用白名单。我们使用Antisamy和一些自定义XPath表达式。使用antiisamy,您可以定义允许哪些标签和属性。对于属性,您可以定义有效值的列表或描述有效值的正则表达式。使用白名单可以缓解跨站点脚本编写的问题。
http://www.owasp.org/有很多关于Web应用程序安全性的良好资源和指南。 (因此,您可以阅读更多问题,如跨站点请求伪造,SQL注入,...)
您对图像或附件处理有什么问题?