Насколько безопасно «в сухую» использовать wysiwyg-редактор tinymce?
Хочу поставить на сайте tinymce, чтобы каждый человек мог писать текст и редактировать его (после он конечно же будет выводится на страницах сайта). Но задаюсь вопросом - насколько это безопасно?
Ежу понятно, что нисколько не надёжно так делать... Хотя вроде если вывести на экран с помощью htmlspecialchars() введённый в редактор текст, теги < script >< / script > отобразит как & lt; script & gt; иначе говоря "не пропустит", да и если выбрать режим "<> source code" и самому вводить все теги, то весь script он вырежет. Вот и интересуюсь, можно ли доверять такой защите и ограничивается ли "угроза" тегом < script >? Или без htmlpurifier здесь не обойтись?
мце по умолчанию беспощадно режет почти всё, но на клиентской стороне. то есть подделав его запрос можно запостить что угодно. так что нужно самому резать на сервере. так же при желании можно подделать запрос на загрузку изображений, да и вообще на любой его коннектор. вобщем самое правильное это проверять каждое действие на сервере. а убирание кнопок в редакторе это чисто декоративная настройка
Средний
