タグ

関連タグで絞り込む (1)

タグの絞り込みを解除

セキュリティとWYSIWYGに関するkemworldのブックマーク (1)

  • PEAK XOOPS - WYSIWYG Editor for BB-Code

    HTTP経由で入力された文字列の特殊文字(<>&'")を、エスケープしないでブラウザに送出する、というのは基的にはやってはいけないことです。 ゲストなり信用できないユーザの投稿をそのように表示すれば、単純にScriptInsertion脆弱性ですし、管理者や信用できるユーザだけに許可したとしても、きちんと対策しなければCSRFとのコンビネーション攻撃の対象になるだけです。 その一方で、ブラウザのWYSIWYG Editorを利用したい、という需要は常にあります。ブラウザのWYSIWYG Editor機能を利用したいが故に、来のエスケープ処理を外してHTMLを許可する、なんてHack例も多く見られますが、これは当然、「わざわざ穴を開けている」ことに他なりません。 HTMLを許可せずに、WYSIWYGなエディタが使えれば良い 転じて BB-Codeを直接解釈するWYSIWYGエディタ これ

  • 1