ציטוט:
נכתב במקור על ידי IgalSt
חור האבטחה לא נמצא בעורך עצמו, אלא בצד שרת שקולט את הפלט של העורך: מלכתחילה אתה מאפשר בשדה זה שיהיה קוד HTML וכתצואה מכך גם קוד JS.
אז נכון שאתה יכול לנסות לסנן החוצה תגיות <script>, אבל יש כ"כ הרבה אפשרויות לעקוף את זה.
כמה דוגמאות:
HTML קוד:
<script > // note the space before ">"
<scri<!---->pt>
|
בשורה אחת:
PHP קוד:
preg_replace("/<.*script.*>/", "", $content);
בנוסף, ניתן לחסום פונקציות מסוימות כמו קוד מקור בעורך CKEDITOR בקלות, וזה יאבטח את האזור.