Ver Mensaje Individual
  #1 (permalink)  
Antiguo 28/07/2017, 09:57
Camatagua123
 
Fecha de Ingreso: agosto-2011
Mensajes: 87
Antigüedad: 13 años, 4 meses
Puntos: 3
Prevenir ataques XSS

Buenas.

Disculpen, estoy en pleno desarrollo de un portal web de noticias y cuyas publicaciones se hacen mediante editor WYSIWYG que me proporciona, ademas las etiquetas html con todas sus caracteristicas, como por ejemplo


Código:
<img src="http://www.host-de-mi-imagen.com/mi-imagen.gif" style="width: 561.721px; height: 261px;">
que me cargaria la imagen con el ancho y alto especificado dentro de la etiqueta IMG

pero, si edito en modo CODE en mi editor y coloco
Código:
<script>alert('algun mensaje que no deberia estar');</script>
el script se ejecutaria cada vez que sea mostrado el contenido del post y lógico seria un ataque XSS (sencillo pero lo es).

Mi pregunta es como creen que deberia protejerme de los ataques XSS sabiendo que necesito almacenar mis etiquetas html ?

he pensado en eliminar toda etiqueta <script> dentro del contenido, pero estaria haciendo todo bien en eliminar solo esa etiqueta script? ¿dejo puertas abiertas para ataque xss?¿cual seria la forma correcta?
__________________
No le pare bola a la vida, que la vida no le para bolas a uno!