Je viens d'implémenter CKEditor pour la saisie de texte enrichi dans mon application et je pense que la possibilité pour un utilisateur de saisir quoi que ce soit pourrait constituer une menace pour la sécurité.Conséquences pour la sécurité de l'utilisation de CKEditor
Pour le moment, j'ai l'implémentation la plus simple - CKEditor se trouve dans un formulaire, entrée est enregistrée dans la base de données dans le cadre de update_attributes
, et d'autres personnes peuvent voir la sortie html_safe
.
D'une certaine manière, ce qui précède ne me semble pas bien, même si cela fonctionne. Ai-je raison de penser que cette approche comporte des risques? Existe-t-il un moyen plus sûr de bloquer une attaque via l'éditeur?
Salut fx_ - merci beaucoup pour votre réponse. Je l'ai dans Application.rb: 'config.action_view.sanitized_allowed_tags =% w (h1 h2 h3 h4 b i p u un pr div span p ul ol li strong frappe img)'. Est-ce que cela, combiné avec 'sanitize (@ notes.body)' déshabille CSS, JS, iframes, etc.? – sscirrus
_Cette aide hygiénique codera html tous les tags et dépouillera tous les attributs qui ne sont pas spécifiquement autorisés._ - voir ['ActionView :: Helpers :: SanitizeHelpers # sanitize'] (http://apidock.com/rails/ActionView/ Helpers/SanitizeHelper/assainir) –