none
Безопасность TinyMCE RRS feed

  • Вопрос

  • Приветствую,

    возможно я просто по английски плохо читаю, но перечитав раздел безопасности официального сайта TinyMCE не нашел

    ничего об XSS  атаках и насколько этот WISYWIG редактор от них защишен, поэтому у меня вопрос тем, кто имееет опыт работы

    с этим редактором - в нем реализована защита от XSS атак, насколько она надежна?

    (например, в CLEditor-е  в качестве защиты от XSS используется только удаление тега <script> - вот и вся защита, понятно, что такая защита ничегшо не решает).

    Оправдано ли прикручивание к редактору BBCode плагина, если он используется на странице доступной для большого количества пользователя, хоть и не анонимных, но нельзя сказать, что среди них хулигана не найдется :) 

    Снижает ли использование BBCode плагина доступную функциональность редактора?

    ---------------

    На сайте TinyMCE есть ссылки на server-side решения, но это не то, меня интересует, что сделано в самом TinyMCE для безопасности.

    • Изменено A.G.Sedov 25 марта 2012 г. 17:05
    25 марта 2012 г. 16:48

Ответы

  • Спасибо.

    Вообщем сам покапавшись пришел к следующим выводам:

    1. На зашиту от XSS разработчики забили, так как не видят смысла её реализовывать, если настоящий взломщик может отправить данные и в обход формы с фильтрующим JavaScript-ом. (особенно, если речь идет о Ajax-вых Callback запросах).

    2. По поводу BBCode пишут вот, что:  "Remember you will need to remove lots of TinyMCEs functionality in order to use this plugin successfully, since the BBCode format doesn't support the whole HTML specification. ... We only support PunBB at the moment but hope to add more dialects in the future." - т.е. пока что использование BBCode плагина сильно урезает возможности TinyMCE редактора.  

    29 марта 2012 г. 8:26

Все ответы

  • Здравствуйте.

    Наверное вам лучше задать свой вопрос на официальном форуме компонента TinyMCE

    Также посмотрите топик на stackoverflow, который пересекается с вашим - TinyMce protection against cross site scripting

    Надеюсь это вам поможет.


    Для связи [mail]

    28 марта 2012 г. 16:14
    Модератор
  • Спасибо.

    Вообщем сам покапавшись пришел к следующим выводам:

    1. На зашиту от XSS разработчики забили, так как не видят смысла её реализовывать, если настоящий взломщик может отправить данные и в обход формы с фильтрующим JavaScript-ом. (особенно, если речь идет о Ajax-вых Callback запросах).

    2. По поводу BBCode пишут вот, что:  "Remember you will need to remove lots of TinyMCEs functionality in order to use this plugin successfully, since the BBCode format doesn't support the whole HTML specification. ... We only support PunBB at the moment but hope to add more dialects in the future." - т.е. пока что использование BBCode плагина сильно урезает возможности TinyMCE редактора.  

    29 марта 2012 г. 8:26