xss - 如何安全地使用 fckEditor，而不存在跨站脚本风险？

Question

此链接描述了使用 fckEditor 对我的应用程序的利用: http://knitinr.blogspot.com/2008/07/script-exploit-via-fckeditor.html

如何在仍然使用 fckEditor 的同时确保我的应用程序的安全？是fckEditor配置吗？从 fckEditor 获取文本后，我应该在服务器端进行一些处理吗？

这是一个谜题，因为 fckEditor 使用 html 标签进行格式化，所以当我显示文本时，我不能只进行 HTML 编码。

Answer 1

清理 html 服务器端，别无选择。对于 PHP 来说是 HTML Purifier ，对于.NET我不知道。清理 HTML 是很棘手的 - 仅仅去除脚本标签是不够的，您还必须注意 on* 事件处理程序，甚至更多，这要归功于 IE 的愚蠢行为。

此外，通过自定义 html 和 css，很容易劫持网站的外观和布局 - 使用覆盖所有屏幕的覆盖层(绝对定位)等。为此做好准备。