tinymce <script>

DarkWater · #1 (**permalink**) 23/03/2011, 07:53

Hola,
estoy utilizando tinymce y me surgió un problema.

Cuando cargo desde la base de datos un texto para mostrarlo en tinymce y este contiene la etiqueta <script></script> no me muestra la etiqueta ni lo que contiene.

La etiqueta la cargo de la siguiente forma: <script>alert("ERROR");</script>

con los caracteres HTML escapados pero también lo he probado sin escapar y no funciona.

el codigo que utilizo para ejecutarlo es el siguiente:

Código:

$(selector).tinymce(
    {
        script_url : 'js/tiny_mce/tiny_mce.js',        
        theme : "advanced",
        mode : "textareas",
    	plugins : "bbcode",
    	theme_advanced_buttons1 : "bold,italic,underline,strikethrough,|,forecolor,fontsizeselect,|,justifyleft,justifycenter,justifyright,justifyfull,bullist,numlist,|,outdent,indent,|,undo,redo",
    	theme_advanced_buttons2 : "",
    	theme_advanced_buttons3 : "",
    	theme_advanced_toolbar_location : "top",
    	theme_advanced_toolbar_align : "center",
    	theme_advanced_styles : "Code=codeStyle;Quote=quoteStyle",
    	content_css : "css/<?php echo $tema_visual ?>/tinymce.css",
    	entity_encoding : "raw",
    	add_unload_trigger : false,
    	remove_linebreaks : false,
        convert_fonts_to_spans: true,
        convert_newlines_to_brs : true,
        doctype : '<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">',
        inline_styles : false,
        
        cleanup : true,
                
        
    });

maycolalvarez · #2 (**permalink**) 23/03/2011, 08:35

precisamente, porque la librería filtra para evitar scripts que son la fuente de ataques XSS, revisa su documentación para ver si existe una directiva para desactivarlo, pero de todas formas no es recomendable almacenar en base de datos script que puedan dumpearse fácilmente en HTML, para evitar riesgos de ataques XSS

DarkWater · #3 (**permalink**) 23/03/2011, 09:50

Hola gracias por responder,

Lo que pretendo es que mediante timymce el usuario suba sus comentarios a la web y si mas tarde quiere modificarlo que la aplicación coja el cometario de la base de datos y lo muestre otra vez en tinymce.

El problema es que el usuario puede introducir el texto que quiera por lo tanto puede introducir la siquiente cadena
EJ:

Código:

<script>alert("ataque XSS");</script>

para evitar el ataque utilizo en PHP la función htmlspecialchars que escapa los caracteres y me guarda en la base de datos el siguiente texto:

Código:

&lt;script&gt;alert("ataque XSS");&lt;/script&gt;

Pero si el usuario quiere modificar el texto que escribió, la aplicación coge los datos de la base de datos y los carga en timymce. Suponiendo que solo escribiera el texto del ejemplo, en tinymce no se muestra nada, pero si lo vuelvo a guardar me vuelve a guardar la misma cadena. Es decir, que el texto se encuentra cargado en timymce pero no lo muestra.

Timymce me deja introducir javascript pero no me deja cartgarlo desde la base de datos.

Gracias

DarkWater · #4 (**permalink**) 04/04/2011, 15:29

Alguna idea,
es lo mismo que en este foro. Si escribo <script>alert("ataque XSS");</script>.
Y luego quiero modificar el texto en editar me muestra <script>alert("ataque XSS");</script>

Pero con la configuración que puse no me lo muestra.

He intentado tambien añadiendo la propiedad extended_valid_elements pero tampoco ha funcionado no se si hay que colocar algún parametro más.

gracias.