עורך טקסט עשיר לאתר.

[mrns]

ציטוט:

נכתב במקור על ידי IgalSt

חושב לזכור שאם מדובר בגולשים רגילים (ולא כאלה שבדקת ואתה וסמך עליהם כמו לדוגמה מנהלים), מדובר בפרצת אבטחה לא קטנה שתאפשר להם להזריק כל קוד HTML, JS או CSS שירצו לעמוד שאתה נותן לערוך בצורה כזאת.
המשמעויות הן שאפשר בקלות לנתב גולשים מהעמוד הזה לאתר אחר במקרה הטוב, או במקרה הרע לגנוב עוגיות של משתמשים ולהתחזות להם לדוגמה.

היום כל עורך טקסט מאובטח והם חסמו את חורי האבטחה האלו...
תנסה לבד:
http://ckeditor.com/demo

[IgalSt]

ציטוט:

נכתב במקור על ידי mrns

היום כל עורך טקסט מאובטח והם חסמו את חורי האבטחה האלו...
תנסה לבד:
http://ckeditor.com/demo

חור האבטחה לא נמצא בעורך עצמו, אלא בצד שרת שקולט את הפלט של העורך: מלכתחילה אתה מאפשר בשדה זה שיהיה קוד HTML וכתצואה מכך גם קוד JS.
אז נכון שאתה יכול לנסות לסנן החוצה תגיות <script>, אבל יש כ"כ הרבה אפשרויות לעקוף את זה.
כמה דוגמאות:

HTML קוד:

<script > // note the space before ">"
<scri<!---->pt>

[~The_Sultan~]

ציטוט:

נכתב במקור על ידי IgalSt

חור האבטחה לא נמצא בעורך עצמו, אלא בצד שרת שקולט את הפלט של העורך: מלכתחילה אתה מאפשר בשדה זה שיהיה קוד HTML וכתצואה מכך גם קוד JS.
אז נכון שאתה יכול לנסות לסנן החוצה תגיות <script>, אבל יש כ"כ הרבה אפשרויות לעקוף את זה.
כמה דוגמאות:

HTML קוד:

<script > // note the space before ">"
<scri<!---->pt>

בשורה אחת:

PHP קוד:

preg_replace("/<.*script.*>/", "", $content); 


בנוסף, ניתן לחסום פונקציות מסוימות כמו קוד מקור בעורך CKEDITOR בקלות, וזה יאבטח את האזור.