此链接描述了使用 fckEditor 对我的应用程序的利用:http://knitinr.blogspot.com/2008/07/script-exploit-via-fckeditor.html http://knitinr.blogspot.com/2008/07/script-exploit-via-fckeditor.html
如何在仍然使用 fckEditor 的同时确保我的应用程序的安全?是fckEditor配置吗?从 fckEditor 获取文本后,我应该在服务器端进行一些处理吗?
这是一个谜题,因为 fckEditorUSEShtml 标签的格式,所以当我显示文本时我不能只进行 HTML 编码。
清理 html 服务器端,别无选择。对于 PHP 来说是HTML 净化器 http://htmlpurifier.org,对于.NET我不知道。清理 HTML 是很棘手的 - 仅仅去除脚本标签是不够的,您还必须注意 on* 事件处理程序,甚至更多,这要归功于 IE 的愚蠢行为。
此外,使用自定义 html 和 css,很容易劫持网站的外观和布局 - 使用覆盖所有屏幕的覆盖层(绝对定位)等。为此做好准备。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)