HTML Purifier, wysiwyg problem z xss

pytanie zadane 3 stycznia 2018 w PHP przez maciej.szarlat Użytkownik (710 p.)

Cześć,

w małej apce laravelowej wrzuciłem sobie edytor wysiwyg https://summernote.org/. Do zapobiegania xss użyłem paczki HTML Purifier i wszystko działa generalnie ok aż do momentu, kiedy nie wywołam widoku edycji po uprzednim wrzuceniu np:

<b onmouseover=alert('Wufff!')>click me!</b>

jak zapobiec wykonywaniu niechcianego kodu z poziomu widoku edycji? Próbowałem znaleźć cokolwiek na ten temat w dokumentacji summernote bo myślałem, że może ma coś wbudowane ale nie znalazłem.

w wysiwyg, w którym piszę to pytanie, jakoś jest to zabezpieczone

Dzięki z jakiekolwiek wskazówki.

1 odpowiedź

odpowiedź 5 stycznia 2018 przez rafal.budzis Szeryf (85,260 p.)

Zastanawiam sie przed czym chcesz sie zabezpieczyć. Gdy mamy do czynienia z edytorem złośliwy kod moze wkleić tylko osoba ktora będzie równocześnie atakowana. Równie dobrze ktos moze odpalić F12 i wkleić samemu sobie kod w zakładkę konsoli. Jedynym zabezpieczeniem jakie możesz zrobić to przetworzyć tekst z htmlem przez wspomniany plugin przed zapisem do bazy danych juz po wysłaniu formularza.

1	komentarz 5 stycznia 2018 przez maciej.szarlat Użytkownik (710 p.) Pytałem z ciekawości i żeby się tego nauczyć, dlatego szukam wskazówek :) Oczywiście masz rację i Twój argument mnie przekonuje, żeby nic z tym nie robić :) jak byś natomiast miał jakieś wskazówki, będę wdzięczny.