Yii2 Ckeditor и html:encode как сделать безопасно?

Question

[Антон Натаров]

Всем доброго дня. Использую на своем сайте плагин для yii2 -Ckeditor. Все поставил, все работает, но при добавлении своих записей, HTML теги экранируются, а если не экранировать это то выходит потенциальная уязвимость со стороны пользователя. Как выводить тогда правильно?

Без экранировки
<?= $model->description ?>

Так экранирует, но не работает нормально ckeditor
<?= Html::encode($model->conditions) ?>

Как решить вопрос безопасности и удобства пользования плагина? Может есть аналоги WYSIWYG, которые не требуют такого подхода ?

Comments

[Abdula Magomedov]

там вроде бы тег script не пропускается

[Антон Натаров]

Avarskiy: Вы правы, почему то не подумал протестировать.....

Answer 1

[Антон Натаров]

Вдруг кому-то пригодится. Есть хелпер в Yii2, который чистит от потенциальных угроз
HTMLPurifier

Просто оборачиваете свои переменные в

<?= \yii\helpers\HtmlPurifier::process($model->description); ?>

Вдруг кому-то пригодится.

Comments

[Дмитрий Донковцев]

Можно еще дополнительно ограничить набор тегов с помощью strip_tags('text', '...'), разрешить только те, которые могут понядобиться пользователю.

[Антон Натаров]

Дмитрий Донковцев: У Ckeditor есть разная комплектация basic, standart, full. Базовый включает нужное для меня, но спасибо, учту это в будущем.

[Дмитрий Донковцев]

Антон Натаров: это же на фронтэнде, при сохранении и выводе все равно лучше удалять все теги, не входящие в список разрешенных, иначе злоумышленник может просто сделать post запрос в обход и вашего редактора и как минимум вы увидите неожиданные теги, как максимум XSS.

[Антон Натаров]

Дмитрий Донковцев: у меня VerbFilter блокирует другие запросы. Я так понимаю, что нельзя послать Get где есть фильтр на POST и наоборот. Или я не так понял документацию ? Меня беспокоил только тег Script, а в остальном терпимо мне кажется.

[Дмитрий Донковцев]

VerbFilter проверяет тип запроса, а не данные в нем, вообще, если подходить правильно, то надо встраивать редактор, который конвертирует html в markdown, и при сохранении полностью чистить текст от html тегов, а при выводе конвертировать markdown в html, но это уже требует больше действий свашей стороны.