חסימת XSS עם עורך טקסט - הוסטס

dabi · 18-11-08, 18:40

אני מגן מפני XSS בעזרת
htmlspecialchars
סבבה
עכשיו אני עושה מערכת של פורום לדוגמא ששם נאי חייב לתת למשתמשים עורך כמו fckeditor
אם אני ישמתמש בפונקציה htmlspecialchars זה יהרוס את כל העורך
אז איך אני יכול לתת למשתמשים להכניס הודעות עם העורך fckeditor ועדיין להגן מפני XSS
ראיתי את הפוקנציה כאן
http://seclists.org/bugtraq/2006/Aug/0539.html
האם כדאי להשתמש בעורך טקסט הנ"ל ופשוט את הטקסט להעביר דרך הפוקנציה וזה יההי בסדר?
אשמח לתשובות

HOLD · 18-11-08, 18:49

יש פונקציה הפוכה ל htmlspecialchars ...

נראה לי dehtmlspecialchars אבל תחכה לתגובות של עוד אנשים..

dabi · 18-11-08, 18:56

אם אני יעשה את הפונקציה ההפוכה של זה זה יחזיר לי את כל התווים שבעורך אבל גם את כל הXSS שניסו להחדיר לי

Shon12 · 18-11-08, 19:04

http://www.fckeditor.net/demo... אני לא רואה פה XSS

dabi · 18-11-08, 19:32

נסה להחדיר JS ודברים כאלה
זה אפשרי שם

Speed · 18-11-08, 20:05

אי אפשר להחדיר שם XSS
זה הקוד שהוכנס:

HTML קוד:

<script>alert("XSS")</script>

זה הפלט:

HTML קוד:

<p>&lt;script&gt;alert(&quot;XSS&quot;)&lt;/script&gt;</p>

אותו פלט גם בTINYMCE ואותו הדבר בכל העורכים בשיטת WYSIWYG

18-11-08, 18:40	# 1
dabi חבר וותיק מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 1,767	חסימת XSS עם עורך טקסט אני מגן מפני XSS בעזרת htmlspecialchars סבבה עכשיו אני עושה מערכת של פורום לדוגמא ששם נאי חייב לתת למשתמשים עורך כמו fckeditor אם אני ישמתמש בפונקציה htmlspecialchars זה יהרוס את כל העורך אז איך אני יכול לתת למשתמשים להכניס הודעות עם העורך fckeditor ועדיין להגן מפני XSS ראיתי את הפוקנציה כאן http://seclists.org/bugtraq/2006/Aug/0539.html האם כדאי להשתמש בעורך טקסט הנ"ל ופשוט את הטקסט להעביר דרך הפוקנציה וזה יההי בסדר? אשמח לתשובות

18-11-08, 19:04	# 4
Shon12 חבר מתקדם מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 354	http://www.fckeditor.net/demo... אני לא רואה פה XSS __________________ Projector Lamps

18-11-08, 20:05	# 6
Speed חבר בקהילה מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 71	אי אפשר להחדיר שם XSS זה הקוד שהוכנס: HTML קוד: <script>alert("XSS")</script> זה הפלט: HTML קוד: <p>*<script>alert("XSS")</script></p> אותו פלט גם בTINYMCE ואותו הדבר בכל העורכים בשיטת WYSIWYG Last edited by Speed; 18-11-08 at 20:08..*


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

18-11-08, 18:49	# 2
HOLD חבר מתקדם מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 623	יש פונקציה הפוכה ל htmlspecialchars ... נראה לי dehtmlspecialchars אבל תחכה לתגובות של עוד אנשים..

18-11-08, 18:56	# 3
dabi חבר וותיק מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 1,767	אם אני יעשה את הפונקציה ההפוכה של זה זה יחזיר לי את כל התווים שבעורך אבל גם את כל הXSS שניסו להחדיר לי

18-11-08, 19:32	# 5
dabi חבר וותיק מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 1,767	נסה להחדיר JS ודברים כאלה זה אפשרי שם

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)