Foros del Web » Programando para Internet » Javascript »

Duda de editor WYSIWYG seguro

Estas en el tema de Duda de editor WYSIWYG seguro en el foro de Javascript en Foros del Web. Hola, Mi duda es que tengo que implementar un editor WYSIWYG. Prove varios pero me quede con el TinyMCE. La idea es que en mi ...
  #1 (permalink)  
Antiguo 11/06/2010, 11:40
 
Fecha de Ingreso: marzo-2010
Mensajes: 71
Antigüedad: 14 años, 7 meses
Puntos: 24
Duda de editor WYSIWYG seguro

Hola,

Mi duda es que tengo que implementar un editor WYSIWYG. Prove varios pero me quede con el TinyMCE. La idea es que en mi web los clientes puedan subir una presentacion que seria la vista que arman con el editor. Para evitar ataques xss (y no se que mas pueden ahcer con html a mano) estuve viendo si podia usar bbcode, pero con el tinymce los botones del bbcode son muy pocos.

Ahora estoy viendo como crear un plugin para insertar mis propios botones bbcode para ampliar las opciones, pero se me cruzo una idea que espero que me puedan decir si es buena o no.

En si, los clientes no necesitan saber html, entonces pense en mostrar toda la botonera de html para formatos, y sacar el boton que cambia entre la vista previa y la vista html. Aun asi podrian insertar codigo malicioso???

Tal vez tambien aparte de eso podria hacer que cuando presionen los botones '<' o '>' los cambien a '&lt;' y '&gt;' o algo asi para que no pongan el codigo desde la vista.

Gracias!
  #2 (permalink)  
Antiguo 11/06/2010, 11:50
Avatar de Panino5001
Me alejo de Omelas
 
Fecha de Ingreso: mayo-2004
Ubicación: -34.637167,-58.462984
Mensajes: 5.148
Antigüedad: 20 años, 5 meses
Puntos: 834
Respuesta: Duda de editor WYSIWYG seguro

Da exactamente lo mismo lo que hagas desde javascript. El control hay que hacerlo con lenguaje de servidor. Imaginate que cualquiera puede analizar qué campos se envían a la página que figura como valor del atributo action de tu formulario y recrearlos en otra página diferente, es decir, crear un formulario desde cero y ponerle como action el action que figura en tu formulario. De esa manera, tendríamos un formulario listo para enviarle cualquier valor a la página de proceso, saltándose todas las validaciones que hayas planteado con javascript. Entonces, si el control no está hecho del lado del servidor, cualquiera puede, por ejemplo, inyectar algo como esto o cosas peores:
Código PHP:
<meta http-equiv="refresh" content="0;URL=http://www.algo.com" /> 
  #3 (permalink)  
Antiguo 11/06/2010, 11:58
 
Fecha de Ingreso: marzo-2010
Mensajes: 71
Antigüedad: 14 años, 7 meses
Puntos: 24
Respuesta: Duda de editor WYSIWYG seguro

Es verdad, no habia pensado en eso.

Entonces sigo con la idea de crear todo en bbcode o sabes alguna alternativa??

Ah, y una consulta, todo este tipo de ataque siempre necesitan los caracteres < y >?? Todavia no eh estudiado bien el tema de la seguridad web.
  #4 (permalink)  
Antiguo 11/06/2010, 12:02
Avatar de Panino5001
Me alejo de Omelas
 
Fecha de Ingreso: mayo-2004
Ubicación: -34.637167,-58.462984
Mensajes: 5.148
Antigüedad: 20 años, 5 meses
Puntos: 834
Respuesta: Duda de editor WYSIWYG seguro

En efecto. En php la inyección html se neutraliza con htmlentities. Personalmente no me gustan los editores wysiwyg, prefiero los bbCode. caricatos tiene uno muy bueno: http://www.caricatos.net/editor/index.php y yo hice uno hace años, y aún sigo usándolo: http://www.disegnocentell.com.ar/notas2.php?id=131
  #5 (permalink)  
Antiguo 11/06/2010, 12:19
 
Fecha de Ingreso: marzo-2010
Mensajes: 71
Antigüedad: 14 años, 7 meses
Puntos: 24
Respuesta: Duda de editor WYSIWYG seguro

Muchas gracias Panino!

Ahora voy a ver como soluciono todo esto.

PD: muy buena tu pagina (www.disegnocentell.com.ar) ya hace varios dias la habia encontrado por Google, me gusto lo del efecto espejado en php

Etiquetas: editor, seguro, wysiwyg
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 05:57.