09/07/2013, 05:46
| |||
| |||
| duda con tinyMCE Hola tengo una duda con tinyMCE lo quiero implementar en un textarrea pero tengo dudas de seguridad respecto a los ataques XSS, no se si el tinyMCE ya los evita por si solo, ya que es un lenguaje del lado del cliente, yo hice alguna prueba y creo que elimina todas las etiquetas de de programacion dejando solo el css y html pero me siguen quedando muchas dudas de seguridad, si alguien conoce bien el codigo y me puede aclarar mis dudas se agradece, un saludo. |
|
09/07/2013, 05:56
| ||||
| ||||
| Respuesta: duda con tinyMCE Hola azaz, El tinyMCE no tiene nada que ver con eso, en mi opinión. Tal vez exista un plugin para evitar infecciones, pero no lo veo realista. Debes limpiar con alguna expresion regular lo que te llegue en la variable POST, todo lo realizado en el navegador del cliente son "narajas de la china". Por mucho tinyMCE que un usuario tenga que completar... al final siempre podras enviar una petición POST manualmente con el contenido que quieras, por lo tanto.... ni tan siquiera verian el editor. Repito: valida toda la información que el usuario te envie, desconfia 100% de los usuarios. :D pd: llevo varias semanas editando un tinymce... y mira que es un codigo de un nivel increible... pero no llega a tanto como para evitar ataques... |
|
09/07/2013, 06:05
| ||||
| ||||
| Respuesta: duda con tinyMCE Con javascript no podés evitar problemas de seguridad. Del lado del servidor suelen usarse scripts como HTML Purifier cuando se trabaja con editores wysiwyg.
__________________ Fast, lightweight, cross-platform framework for building incredible, powerful JavaScript applications |
| Etiquetas: |
