Quelles sont les meilleures pratiques pour manipuler du texte WsiWyg à partir d'un éditeur tel que l'éditeur de texte YUI Rich?

Question

Je cherche une expérience que quelqu'un peut partager concernant l'utilisation d'un éditeur de texte riche tel que l'éditeur de texte riche de YUI. En particulier, je suis intéressé par la façon de traiter ou prévenir des problèmes avec

1. Cross Site Scripting
2. image ou une pièce jointe manipulation

Toute question similaire, vous pouvez fournir des liens vers ou des articles web serait apprécié.

Answer 1

La méthode recommandée consiste à utiliser la liste blanche. Nous utilisons Antisamy pour cela et certaines expressions XPath personnalisées. avec antisamy, vous pouvez définir quelles balises et quels attributs sont autorisés. Pour les attributs, vous pouvez définir des listes de valeurs valides ou d'expressions régulières décrivant une valeur valide. Le problème des scripts inter-sites peut être atténué avec la liste blanche.

http://www.owasp.org/ a beaucoup de bonnes ressources et des lignes directrices sur la sécurité des applications Web. (Ainsi, vous pouvez lire plus de questions comme Cross Site Request Forgery, injection SQL, ...)

Quelles questions avez-vous sur la manipulation des images ou des pièces jointes?