הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - חסימת XSS עם עורך טקסט (https://hosts.co.il/forums/showthread.php?t=69548)

dabi	18-11-08 18:40

חסימת XSS עם עורך טקסט

אני מגן מפני XSS בעזרת
htmlspecialchars
סבבה
עכשיו אני עושה מערכת של פורום לדוגמא ששם נאי חייב לתת למשתמשים עורך כמו fckeditor
אם אני ישמתמש בפונקציה htmlspecialchars זה יהרוס את כל העורך
אז איך אני יכול לתת למשתמשים להכניס הודעות עם העורך fckeditor ועדיין להגן מפני XSS
ראיתי את הפוקנציה כאן
http://seclists.org/bugtraq/2006/Aug/0539.html
האם כדאי להשתמש בעורך טקסט הנ"ל ופשוט את הטקסט להעביר דרך הפוקנציה וזה יההי בסדר?
אשמח לתשובות

HOLD	18-11-08 18:49

יש פונקציה הפוכה ל htmlspecialchars ...

נראה לי dehtmlspecialchars אבל תחכה לתגובות של עוד אנשים..

dabi	18-11-08 18:56

אם אני יעשה את הפונקציה ההפוכה של זה זה יחזיר לי את כל התווים שבעורך אבל גם את כל הXSS שניסו להחדיר לי

Shon12

18-11-08 19:04

http://www.fckeditor.net/demo... אני לא רואה פה XSS

dabi	18-11-08 19:32

נסה להחדיר JS ודברים כאלה
זה אפשרי שם

Speed

18-11-08 20:05

אי אפשר להחדיר שם XSS
זה הקוד שהוכנס:

HTML קוד:

<script>alert("XSS")</script>

זה הפלט:

HTML קוד:

<p><script>alert("XSS")</script></p>

אותו פלט גם בTINYMCE ואותו הדבר בכל העורכים בשיטת WYSIWYG

כל הזמנים הם GMT +2. הזמן כעת הוא 21:46.