Ckeditor 通过富文本编辑器发布图像是否容易受到XSS攻击?
我正在使用一个富文本编辑器CKEditor来允许用户输入呈现HTML/CSS的格式化文本 为了防止不受信任的用户的攻击,我使用Java库来过滤/列出用户输入的必要标记和/或属性,例如锚定标记Ckeditor 通过富文本编辑器发布图像是否容易受到XSS攻击?,ckeditor,jsoup,xss,wysiwyg,ckfinder,Ckeditor,Jsoup,Xss,Wysiwyg,Ckfinder,我正在使用一个富文本编辑器CKEditor来允许用户输入呈现HTML/CSS的格式化文本 为了防止不受信任的用户的攻击,我使用Java库来过滤/列出用户输入的必要标记和/或属性,例如锚定标记 <a href='http://example.com/' onclick='executeMaliciousTask();'>Click Here</a> 允许用户以这种方式发布图像可能会以任何方式受到XSS攻击吗?风险不在于生成的干净HTML,而在于提供图像的服务器。我主要关心
<a href='http://example.com/' onclick='executeMaliciousTask();'>Click Here</a>
允许用户以这种方式发布图像可能会以任何方式受到XSS攻击吗?风险不在于生成的干净HTML,而在于提供图像的服务器。我主要关心的是CSRFs。但也可能存在其他问题(如恶意图像导致缓冲区溢出,或更改响应内容类型并欺骗浏览器执行脚本,或设置跟踪cookie等)
我的建议是不允许远程托管图像。允许用户包含img,但获取图像、验证/规范化图像,并从您自己的主机提供图像。风险不在于生成的干净HTML,而在于提供图像的服务器。我主要关心的是CSRFs。但也可能存在其他问题(如恶意图像导致缓冲区溢出,或更改响应内容类型并欺骗浏览器执行脚本,或设置跟踪cookie等) 我的建议是不允许远程托管图像。允许用户包含img,但获取图像、验证/规范化图像,并从您自己的主机提供图像
<a href="http://example.com/" rel="nofollow">Click Here</a>
org.jsoup.Jsoup.clean(editorContents, org.jsoup.safety.Whitelist.basicWithImages();