• Das Erstellen neuer Accounts wurde ausgesetzt. Bei berechtigtem Interesse bitte Kontaktaufnahme über die üblichen Wege. Beste Grüße der Admin

tinyMCE cross side scripting

B

Bieber

New member
hi,

ich will es Nutzern ermöglichen, Ihr Profil via TinyMCE selbst zu gestalten. Leider musste ich feststellen, dass simple CSS-Angriffe dadurch möglich werden (normalerweise filtere ich diese mittels htmlentities() ... damit funktioniert aber die Anzeige dann nicht mehr).

Wie kann ich die Angriffe verhindern und trotzdem den Nutzern möglichst viele Freiheiten geben?! Wie macht ihr so was?
 
whitelisting von erlaubten tags, alles andere rauswerfen. Da es allerdings viele wege gibt sowas auszutricksen ist vielleicht eine fertige bibliothek besser, einfacher und sicher
 
Hast du eine Empfehlung für eine Bibliothek? Die whitelistings kann man ziemlich einfach austricksen... weil man JS-Code ja nicht unbedingt mit <script> starten muss. Also wahrscheinlich doch besser bei den Forensystemen abkupfern und zu BB-Code greifen?!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben