Мы использовали WYSIWYG Editor больше, чем я могу вспомнить. Простая вставка javascript в такой редактор делает его удобной площадкой для XSS-атак.
Кто-нибудь знает какой-либо редактор WYSIWYG, кроме интегрированного с предотвращением XSS?
Решения и предложения приветствуются.
Редактор WYSIWYG полностью клиентский (если только он не упакован вместе с каким-либо серверным компонентом, который зависит от платформы). Вы не можете защититься от пользовательских атак со стороны клиента; пользователи всегда могут пропустить редактор и опубликовать свой XSS прямо в HTTP-запросе.
Вы никогда не захотите выбрасывать информацию на этапах ввода или хранения. Все, что вы делаете для предотвращения XSS, должно происходить, когда вы записываете пользовательский ввод назад на экран. Самый простой способ - просто закодировать все. Очевидно, что на таком сайте, как Stackoverflow, где некоторый пользовательский ввод необходимо в конечном итоге записать в виде разметки, его необходимо сначала очистить.
Если бы мы знали больше о том, какую платформу вы используете, мы, вероятно, могли бы порекомендовать некоторые хорошо протестированные, проверенные библиотеки, которые делают то, что вам нужно.
