Nous avons utilisé l'éditeur WYSIWYG pour plus que je me souvienne. Coller facilement un javascript dans ce type d'éditeur en fait un canard assis pour les attaques XSS.Un éditeur WYSIWYG avec prévention des attaques XSS?
Quelqu'un sait-il un éditeur WYSIWYG que celui intégré aux préventions XSS?
Les solutions et suggestions sont les bienvenues.
Un éditeur WYSIWYG est tout côté client (à moins qu'il soit empaqueté avec un composant de serveur, qui serait spécifique à la plate-forme). Vous ne pouvez pas protéger contre les attaques des utilisateurs du côté client; les utilisateurs peuvent toujours ignorer l'éditeur et publier leur XSS directement dans la requête HTTP.
Vous ne voulez jamais jeter des informations lors des phases d'entrée ou de stockage. Tout ce que vous faites pour empêcher XSS devrait se produire lorsque vous écrivez l'entrée de l'utilisateur pour renvoyer à l'écran. Le moyen le plus simple est de simplement tout encoder. Évidemment, sur un site comme Stackoverflow, où certaines entrées de l'utilisateur doivent être écrites éventuellement en tant que balisage, il doit être nettoyé en premier.
Si nous en savons plus sur la plate-forme que vous utilisez, nous pourrions probablement vous recommander des bibliothèques éprouvées et éprouvées qui répondent à vos besoins.