所见即所得和 XSS

Question

我使用 TinyMCE 作为我的在线编辑器，但我担心 XSS 攻击等。 我虽然替换了所有 < 和 >，但这似乎不是这种编辑器的一个选项，而且我不确定删除脚本标签是否有效也足够了（onclick、onmouseover 和其他事件怎么样）。

我应该采取什么方法来避免此类攻击？

Answer 1

你必须选择，安全还是便利。像TinyMCE这样的所见即所得编辑器非常方便。它允许非专家使用 Web 界面来更新某些带或不带 html 标签的内容。这是允许非技术人员更新 html 的偷懒方式，并且会带来各种危险。
当您允许用户访问数据库的 TinyMCE 接口时，这绝对等于为他们提供了一个数据库客户端来直接更新数据库中的数据。

另外，请注意，今天有大量非恶意的跨站点脚本，实际上是 facebook、linkedin、youtube 等集成，需要对第三方域等进行脚本引用。

因此，如果您强化 TinyMCE 工具因此无法添加 XSS，这对于认真的 Web 开发人员来说在很多情况下都是毫无用处的。

但是，如果您需要添加/编辑/更新/删除编辑器 XSS 证明，您需要验证和清理所有输入，而您的最佳选择是自己推出。

Answer 2

理论上你可以像这样消除XSS，但实际上很难。似乎总有一些事情被你忽略了。

我发现的最好方法是使用正则表达式仅允许使用您指定的某些标签（、等）并删除所有其他标签。您还需要寻找对字符进行编码的用户试图规避您的保护的情况。