我正在使用富文本编辑器 (CKEditor),我有机会让用户创建显示给其他用户的配置文件。
当我将它们显示为时,CKEditor 可以控制的许多属性都将丢失:
<%= sanitize(profile.body) %>
我的问题是:允许解析属性“样式”是否安全?这将允许显示文本颜色、大小、背景颜色、居中、缩进等内容。我只是想确保它不会允许黑客访问我不知道的东西!
最佳答案
is it safe to allow the attribute 'style' to be parsed?
不。
background-image: url(javascript:[code]);
width: expression([code]); /* ie */
behavior: url([link to code]); /* ie */
-moz-binding: url([link to code]); /* ff */
更不用说 UI 欺骗攻击了,比如在真实的登录表单上放置一个虚假的登录表单或其他东西。
关于ruby-on-rails - <span style=...> sanitizer 安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5371648/