2
我正在使用剑道编辑器。如果我写入任何html数据,如:<img src=x onerror=alert(0) >作为输入。脚本正在执行。意味着剑道编辑器不安全。我如何在客户端编码值?如何编码剑道编辑器字段?
在此先感谢。
A
回答
0
我不认为这里的问题是如此之多,以至于Kendo编辑器不安全,更多的是JavaScript片段首先将它放到了页面上。
在初始化时,Kendo编辑器只是将输入值逐字复制并在编辑器中包含的iFrame中使用它,因此脚本会执行。
通常,您将在显示之前对用户内容服务器端进行编码/清理。这是您的网站生成HTML页面,因此您可以完全控制输出,并且需要确保潜在危险的值不会首先添加到输入值中。
这可能是值得看看Microsoft's AntiXSS offering。
相关问题
- 1. 剑道UI - 编辑
- 2. 剑道编辑器模板(网格)
- 3. pdf导出剑道编辑器
- 4. 剑道网格动态字段可编辑定义
- 5. 剑道UI电网弹出编辑表单模板 - 如何隐藏编辑某些字段,而不是添加
- 6. 剑道与X可编辑网格?
- 7. 剑道网格批量编辑
- 8. 剑道网 - 编辑为重复一个
- 9. 如何使用GWT编辑器框架编辑多值字段?
- 10. CRYSTAL XI字段编辑器
- 11. 如何从剑道编辑文本区域
- 12. java字节码编辑器?
- 13. 剑道格,在编辑按钮改变文字
- 14. 剑道编辑器触发onChange事件窗口小部件
- 15. 如何在css中将编辑器标签与编辑器字段对齐
- 16. HTML编辑表 - >被编辑字段
- 17. 如何申请。输入验证错误适用于剑道编辑器MVC4
- 18. 如何禁用剑道UI编辑器完全包括快捷方式
- 19. 编辑JSON字段
- 20. SharePoint 2013无法编辑内容编辑器代码段
- 21. IFrame编辑器IE编码
- 22. 如何在Jasper报告中编辑可编辑的PDF字段
- 23. 手动编辑字段后的javascript编辑字段
- 24. GWT编辑:如何记录对字段和子编辑器的更改? (RequestFactory?)
- 25. 如何在编辑NSTableView中的单元格后保留字段编辑器?
- 26. 防止经验编辑器在sitecore中编辑特定字段
- 27. 如何编辑Woocommerce中的字段?
- 28. OpenCV管道编辑器
- 29. 如何编辑集装箱码头中的文件编辑器
- 30. 如何在代码编辑器中弹出jquery窗体编辑
你如何输入?你想如何编码? – 2013-03-08 08:51:30
嗨@AtanasKorchev请检查jsfiddle链接 http://jsfiddle.net/piyushparmar01/KuQvs/57/ 在这里,我收到警报消息。我将HTMl脚本添加到了kendo编辑器中,但它正在执行中。 – Piyush 2013-03-08 09:15:15
如果我从服务器端进行编码,则用户可以查看相同的编码数据。 – Piyush 2013-03-08 09:52:07