שאלה בקשר לעורך TinyMCE - הוסטס

Xinxy · 01-08-08, 15:09

העורך הזה מאובטח?
ז"א צריך לעשות משהו כדי לאבטח סקריפטים ממנו? ואם כן איך? כי אם אני יעשה htmlspecialchars זה ידפוק אותו

תודה לעוזרים

~~Striker~~ · 01-08-08, 15:20

בד"כ נותנים למנהלים גישה לעורך כזה ולמשתמשים רגילים מכינים עורך בסיסי. (ככה אני עובד ולא נתקלתי בשום בעית אבטחה)

בניה · 01-08-08, 15:41

אפשר לסנן מנו קודי HTML וJAVASCRIPא ספצפיים עם ביטויים רגולרים למשל או להשתמש בstriptags

DvirCohen · 01-08-08, 16:49

אני מאפשר בו תגי HTML, ומסנן בו תגי סקריפט ודברים כאלה, כמו כן התו '.
אם הייתה לי רשימה של כל התגים שמשתמשים בעורך הזה (למישהו יש כזאת רשימה?), היה אפשר לעשות פונקציה שמאבטחת את כל התגי HTML, למעט כאלה שנמצאים בתוך התגים המותרים.

כמו כן מומלץ מאוד שעם עורך כזה תעשה אישור למה שמפורסם.
כלומר - תעשה למשל רשימת המתנה כשהכתבה לדוגמא נכנסת אליה ברגע שהיא מפורסמת, ואתה רואה שהכל תקין.

**Daniel** · 01-08-08, 16:58

כולכם כאן קצת מסבכים אותו.

אתה יכול לשלוח כל דבר דרך הצד לקוח - בשביל העניין, תחשוב שהוא לא מאפשר JAVASCRIPT(כמובן שפורץ יכול לעשות זאת בכוונה). אז אין עליו שום הגבלות.

DvirCohen · 01-08-08, 21:31

אוקי.
http://wiki.moxiecode.com/index.php/...valid_elements

פה אתה יכול ללמוד איך להגדיר בדיוק איזה תגיות HTML מותרות.
יש שם גם את הdefault, אני כרגע עורך אותו לאיך שאני רוצה.

בניה · 01-08-08, 22:49

אי אפשר לסמוך על סינון בצד לקוח לקלט מהמשתמש.
אני יכול לערוך את הטופס HTML או להכין אחד בעצמי ולשלוח מה שאני רוצה וכך לא יהיה סינון.

DvirCohen · 02-08-08, 10:26

ציטוט:

נכתב במקור על ידי בניה

אי אפשר לסמוך על סינון בצד לקוח לקלט מהמשתמש.
אני יכול לערוך את הטופס HTML או להכין אחד בעצמי ולשלוח מה שאני רוצה וכך לא יהיה סינון.

כן, אבל לפי מה שהבאתי אתה
1. יכול לדעת איזה תגיות מאופשרות בעורך
2. אתה יכול לדעת איזה תגיות אתה יכול לסנן בצד השרת בלי לפגוע בתוכן שמוצג

01-08-08, 15:09	# 1
Xinxy חבר בקהילה מיני פרופיל תאריך הצטרפות: Feb 2008 הודעות: 259	שאלה בקשר לעורך TinyMCE העורך הזה מאובטח? ז"א צריך לעשות משהו כדי לאבטח סקריפטים ממנו? ואם כן איך? כי אם אני יעשה htmlspecialchars זה ידפוק אותו תודה לעוזרים

01-08-08, 15:41	# 3
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	אפשר לסנן מנו קודי HTML וJAVASCRIPא ספצפיים עם ביטויים רגולרים למשל או להשתמש בstriptags __________________ קו ישר, כי אפשר גם אחרת

01-08-08, 22:49	# 7
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	אי אפשר לסמוך על סינון בצד לקוח לקלט מהמשתמש. אני יכול לערוך את הטופס HTML או להכין אחד בעצמי ולשלוח מה שאני רוצה וכך לא יהיה סינון. __________________ קו ישר, כי אפשר גם אחרת


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

01-08-08, 15:20	# 2
~~Striker~~ Permanently Banned מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 812	בד"כ נותנים למנהלים גישה לעורך כזה ולמשתמשים רגילים מכינים עורך בסיסי. (ככה אני עובד ולא נתקלתי בשום בעית אבטחה)

01-08-08, 16:49	# 4
DvirCohen חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 151	אני מאפשר בו תגי HTML, ומסנן בו תגי סקריפט ודברים כאלה, כמו כן התו '. אם הייתה לי רשימה של כל התגים שמשתמשים בעורך הזה (למישהו יש כזאת רשימה?), היה אפשר לעשות פונקציה שמאבטחת את כל התגי HTML, למעט כאלה שנמצאים בתוך התגים המותרים. כמו כן מומלץ מאוד שעם עורך כזה תעשה אישור למה שמפורסם. כלומר - תעשה למשל רשימת המתנה כשהכתבה לדוגמא נכנסת אליה ברגע שהיא מפורסמת, ואתה רואה שהכל תקין.

01-08-08, 16:58	# 5
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	כולכם כאן קצת מסבכים אותו. אתה יכול לשלוח כל דבר דרך הצד לקוח - בשביל העניין, תחשוב שהוא לא מאפשר JAVASCRIPT(כמובן שפורץ יכול לעשות זאת בכוונה). אז אין עליו שום הגבלות.

01-08-08, 21:31	# 6
DvirCohen חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 151	אוקי. http://wiki.moxiecode.com/index.php/...valid_elements פה אתה יכול ללמוד איך להגדיר בדיוק איזה תגיות HTML מותרות. יש שם גם את הdefault, אני כרגע עורך אותו לאיך שאני רוצה.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)