Как создать редактор HTML на JavaScript?

Question

[Isaac Clark]

Здравствуйте. Такой вопрос.
Если создавать свой онлайн редактор html, то если пользователь пишет в нем примерно следующее:
<h1>Hello, World!</h1>
То нужно выполнить разметку, то есть показать текст, как h1.
но проблема в том, что если пользователь напишет следующее:
<script>alert('xss')</script>
То этот код естественно выполнится, что не есть хорошо.
Как вариант: это replace искать тег скрипт и заменять его скобки на энтити или экранировать их.
Но верен ли этот вариант? возможно есть варианты или ваши предложения намного лучше этого?
Спасибо за помощь и ваше время.

Answer 1

[Adamos]

А если пользователь напишет эту же команду в консоли и она у него в браузере выполнится? Ужас-ужас!

Comments

[Isaac Clark]

когда пользователь может выполнять скрипты на вашем сайте вводя эти скрипты в текстовые поля: да это ужас.

[Adamos]

У себя на компьютере пользователь может вводить в поля хоть скрипты, хоть вирусы, хоть экстремистские материалы. Бороться с этим на стороне пользователя бесполезно.

[Adamos]

Adamos: XSS начинается тогда, когда у вас на странице появляется то, что набрал пользователь, без обработки. Но само оно туда не попадет - сначала оно должно оказаться на сервере, где и должна проводиться чистка. Потому что любая чистка на стороне пользователя элементарно обходится.

Answer 2

[keslo]

<script>alert('xss')</script>
Так вот как выглядит xss атака на сайт! Спасибо, теперь буду знать.

Comments

[Isaac Clark]

к чему этот сарказм? если вы вводите скрипт в текстовое поле, а он выполняется, то это один из видов xss.

[Isaac Clark]

<form method="post" action="http://site.com/page.php">
  <input type="hidden" name="var" value="<script>alert('xss')</script>">
</form>
<script type="text/javascript">
  document.getElementsByTagName('form')[0].submit();
</script>

[keslo]

Isaac Clark: а это не сарказм