5
我正在使用富文本编辑器(CKEditor),我有机会让用户创建显示给其他用户的配置文件。<span style = ...>是否安全卫生?
许多属性CKEditor的可以控制的,当我显示它们正在丧失:
<%= sanitize(profile.body) %>
我的问题是:是否有安全允许属性“风格”将被解析?这将允许显示文本颜色,大小,背景颜色,居中,缩进等内容。我只是想确保它不会让黑客访问我不知道的东西!
A
回答
15
是否可以安全地允许解析属性'style'?
号
background-image: url(javascript:[code]);
width: expression([code]); /* ie */
behavior: url([link to code]); /* ie */
-moz-binding: url([link to code]); /* ff */
更不用说像在一个真正的人或事物虚假的登录表单将UI欺骗攻击。哈哈!
相关问题
- 1. 整洁转换<span style =“font-style:bold”>到<Class="C1">
- 2. <span></span>表
- 3. 是否列表<BlockingCollection <T>>线程安全吗?
- 4. gsl :: span <T>和gsl :: span <const T>过载是ambigous
- 5. <text>与<span>
- 6. 点击<span>
- 7. <span></span>大干快上IE8忽略,而不是在Mozilla
- 8. 为什么<style>块被认为是不安全的标记?
- 9. 将百里香分为<style>< /style>
- 10. <span></span>标签和在.css中使用span有什么区别?
- 11. 删除<a></a>之间的文本但不是href或<span></span>使用PHP
- 12. 如何使用PHP和正则表达式替换<span style =“font-weight:bold;”> foo</span> by <strong>foo</strong>?
- 13. <span>段落
- 14. 在html中使用<style>和<script> ...是否真的很糟糕?
- 15. 什么是<span>内容</span> == $ 0意味着在html?
- 16. 您能拥有<span>在<span>以内?
- 17. 不需要的<span class =“ng-scope”> s</span>
- 18. Angularjs <span flex></ span>不对齐的元素
- 19. 如何更换 “(” 和 “)” 与 “<span>” 和 “</span>” jQuery的
- 20. <span>里面<form>标签
- 21. <a href="javascript:void(0);">优于<span>链接文本</span>
- 22. 在<span>标签内添加<a>标签是否正确?
- 23. 替换<span text-decoration:用下划线<u></u>
- 24. 是否可以指定<style>内的子子类?
- 25. 是否有像@ Html.Label这样的现有MVC HtmlHelper生成<span>?
- 26. 在<iframe />上安装sandbox =“allow-scripts allow-popups allow-same-origin”是否安全?
- 27. 是<BUTTON>功能上等同于<SPAN>?
- 28. 如何删除<span></span>,然后用jQuery添加另一个<span>?
- 29. 蟒蛇用美丽的汤</p> <p>这是</p> <pre><code><div class="same-height-left" style="height: 20px;"><span class="value-frame"> whatever</span></div> </code></pre> <p>我想[我希望]从DIV块
- 30. 测试<span>对于ng-show属性是否可见
哈!非常感谢,我有一种感觉:) – sscirrus 2011-03-20 21:43:05
另请参见[CSS注入](http://guides.rubyonrails.org/security.html#css-injection) – Zabba 2011-03-21 00:21:15
这再次表明,您无法安全使用黑名单。如果你还没有想过在CSS中列入黑名单的规则,你现在就会遇到问题。你甚至不能输出一个CSS字符串,你真的需要完全解析它,只输出解析的DOM。 – usr 2011-05-26 18:21:02