• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

HTML Purifier, wysiwyg problem z xss

0 głosów
110 wizyt
pytanie zadane 3 stycznia 2018 w PHP, Symfony, Zend przez maciej.szarlat Użytkownik (710 p.)

Cześć, 

w małej apce laravelowej wrzuciłem sobie edytor wysiwyg https://summernote.org/. Do zapobiegania xss użyłem paczki HTML Purifier i wszystko działa generalnie ok aż do momentu, kiedy nie wywołam widoku edycji po uprzednim wrzuceniu np:

<b onmouseover=alert('Wufff!')>click me!</b>

jak zapobiec wykonywaniu niechcianego kodu z poziomu widoku edycji? Próbowałem znaleźć cokolwiek na ten temat w dokumentacji  summernote bo myślałem,  że może ma coś wbudowane ale nie znalazłem. 

w wysiwyg, w którym piszę to pytanie, jakoś jest to zabezpieczone cheeky

Dzięki z jakiekolwiek wskazówki.

1 odpowiedź

0 głosów
odpowiedź 5 stycznia 2018 przez rafal612b Nałogowiec (44,920 p.)
Zastanawiam sie przed czym chcesz sie zabezpieczyć. Gdy mamy do czynienia z edytorem złośliwy kod moze wkleić tylko osoba ktora będzie równocześnie atakowana. Równie dobrze ktos moze odpalić F12 i wkleić samemu sobie kod w zakładkę konsoli. Jedynym zabezpieczeniem jakie możesz zrobić to przetworzyć tekst z htmlem przez wspomniany plugin przed zapisem do bazy danych juz po wysłaniu formularza.
1
komentarz 5 stycznia 2018 przez maciej.szarlat Użytkownik (710 p.)
Pytałem z ciekawości i żeby się tego nauczyć, dlatego szukam wskazówek :) Oczywiście masz rację i Twój argument mnie przekonuje, żeby nic z tym nie robić :) jak byś natomiast miał jakieś wskazówki, będę wdzięczny.
komentarz 5 stycznia 2018 przez rafal612b Nałogowiec (44,920 p.)

Mozliwe ze możesz się wpiąć w  event i przechwycić lub zmienić kod po wystąpieniu eventu. https://summernote.org/deep-dive/#onchange

Podobne pytania

0 głosów
2 odpowiedzi 82 wizyt
0 głosów
1 odpowiedź 68 wizyt
0 głosów
2 odpowiedzi 102 wizyt
pytanie zadane 2 lipca 2018 w Inne języki przez marcin99b Maniak (64,250 p.)
Porady nie od parady
Odznacz odpowiedź zieloną fajką, jeśli uważasz, że jest ona najlepsza ze wszystkich i umożliwiła ci rozwiązanie problemu.Najlepsza odpowiedź

64,180 zapytań

110,580 odpowiedzi

231,742 komentarzy

46,956 pasjonatów

Przeglądających: 255
Pasjonatów: 15 Gości: 240

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto dwie polecane książki warte uwagi. Pełną listę znajdziesz tutaj.

...