Уязвим ли плагин CKEditor в Django к XSS атакам?

Question

[flexpc]

Я хочу использовать на своём Django сайте, плагин CKEditor. Но у меня есть сомнения по поводу его безопасности. Я собираюсь из формы CKEditor, отправлять верстку в базу данных, после вывести эту вёрстку на сайт в виде статьи. Представим, кто-то напишет JS скрипт (например майнер) в форме CKEditor. Этот скрипт отправиться в БД и что дальше? Этот майнер будет весить на сайте?? Правдивы ли мои рассуждения. Если да, то как от этого защититься?

Answer 1

[rPman]

Идеологически, любой контент от пользователя нужно считать опасным и проводить проверку. Самое простое - запретить все что не разрешено (т.е. буквально проводить анализ контента пользователя не на предмет поиска скриптов, а на список разрешенных элементов), да это сложно но иначе гарантий ты не получишь.

p.s. как минимум script тег блокируется (вроде бы можно разрешить), остаются еще куча мест где может быть активное содержимое типа css, svg, xslt,... в общем вопрос неплохого такого исследования.

Answer 2

[humoured]

Для пользовательского контента давно придуманы другие языки разметки: bb-коды, markdown. Созданный пользователем HTML опасен всегда, как бы ты его не фильтровал.