@flexpc

Уязвим ли плагин CKEditor в Django к XSS атакам?

Я хочу использовать на своём Django сайте, плагин CKEditor. Но у меня есть сомнения по поводу его безопасности. Я собираюсь из формы CKEditor, отправлять верстку в базу данных, после вывести эту вёрстку на сайт в виде статьи. Представим, кто-то напишет JS скрипт (например майнер) в форме CKEditor. Этот скрипт отправиться в БД и что дальше? Этот майнер будет весить на сайте?? Правдивы ли мои рассуждения. Если да, то как от этого защититься?
  • Вопрос задан
  • 77 просмотров
Пригласить эксперта
Ответы на вопрос 2
@rPman
Идеологически, любой контент от пользователя нужно считать опасным и проводить проверку. Самое простое - запретить все что не разрешено (т.е. буквально проводить анализ контента пользователя не на предмет поиска скриптов, а на список разрешенных элементов), да это сложно но иначе гарантий ты не получишь.

p.s. как минимум script тег блокируется (вроде бы можно разрешить), остаются еще куча мест где может быть активное содержимое типа css, svg, xslt,... в общем вопрос неплохого такого исследования.
Ответ написан
Комментировать
@humoured
Вы всё на свете найдёте в коробке с карандашами
Для пользовательского контента давно придуманы другие языки разметки: bb-коды, markdown. Созданный пользователем HTML опасен всегда, как бы ты его не фильтровал.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы