הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - שאלה בקשר לעורך TinyMCE (https://hosts.co.il/forums/showthread.php?t=65813)

Xinxy

01-08-08 15:09

שאלה בקשר לעורך TinyMCE

העורך הזה מאובטח?
ז"א צריך לעשות משהו כדי לאבטח סקריפטים ממנו? ואם כן איך? כי אם אני יעשה htmlspecialchars זה ידפוק אותו

תודה לעוזרים :)

Striker

01-08-08 15:20

בד"כ נותנים למנהלים גישה לעורך כזה ולמשתמשים רגילים מכינים עורך בסיסי. (ככה אני עובד ולא נתקלתי בשום בעית אבטחה)

בניה	01-08-08 15:41

אפשר לסנן מנו קודי HTML וJAVASCRIPא ספצפיים עם ביטויים רגולרים למשל או להשתמש בstriptags

DvirCohen

01-08-08 16:49

אני מאפשר בו תגי HTML, ומסנן בו תגי סקריפט ודברים כאלה, כמו כן התו '.
אם הייתה לי רשימה של כל התגים שמשתמשים בעורך הזה (למישהו יש כזאת רשימה?), היה אפשר לעשות פונקציה שמאבטחת את כל התגי HTML, למעט כאלה שנמצאים בתוך התגים המותרים.

כמו כן מומלץ מאוד שעם עורך כזה תעשה אישור למה שמפורסם.
כלומר - תעשה למשל רשימת המתנה כשהכתבה לדוגמא נכנסת אליה ברגע שהיא מפורסמת, ואתה רואה שהכל תקין.

Daniel

01-08-08 16:58

כולכם כאן קצת מסבכים אותו.

אתה יכול לשלוח כל דבר דרך הצד לקוח - בשביל העניין, תחשוב שהוא לא מאפשר JAVASCRIPT(כמובן שפורץ יכול לעשות זאת בכוונה). אז אין עליו שום הגבלות.

DvirCohen

01-08-08 21:31

אוקי.
http://wiki.moxiecode.com/index.php/...valid_elements

פה אתה יכול ללמוד איך להגדיר בדיוק איזה תגיות HTML מותרות.
יש שם גם את הdefault, אני כרגע עורך אותו לאיך שאני רוצה.

בניה	01-08-08 22:49

אי אפשר לסמוך על סינון בצד לקוח לקלט מהמשתמש.
אני יכול לערוך את הטופס HTML או להכין אחד בעצמי ולשלוח מה שאני רוצה וכך לא יהיה סינון.

DvirCohen

02-08-08 10:26

ציטוט:

נכתב במקור על ידי בניה (פרסם 655886)

כן, אבל לפי מה שהבאתי אתה
1. יכול לדעת איזה תגיות מאופשרות בעורך
2. אתה יכול לדעת איזה תגיות אתה יכול לסנן בצד השרת בלי לפגוע בתוכן שמוצג

כל הזמנים הם GMT +2. הזמן כעת הוא 19:37.