此链接使用fckEditor描述了对我的应用程序的攻击:http://knitinr.blogspot.com/2008/07/script-exploit-via-fckeditor.html
如何在仍然使用fckEditor的同时使我的应用程序安全?它是fckEditor配置吗?在我从fckEditor获取文本后,我应该在服务器端进行一些处理吗?
这是一个难题,因为fckEditor 使用 html标签进行格式化,因此当我显示文本时,我不能只进行HTML编码.
清理HTML服务器端,没有其他选择.对于PHP,它将是HTML Purifier,对于.NET我不知道.清理HTML很棘手 - 剥离脚本标签是不够的,你还必须注意on*事件处理程序甚至更多,这要归功于IE的愚蠢行为.
此外,使用自定义html和CSS,很容易劫持您的网站的外观和布局 - 使用覆盖所有屏幕的覆盖(绝对定位)等.为此做好准备.
京公网安备 11010802040832号 | 京ICP备19059560号-6 