TinyMCE真的能抵御XSS等常见漏洞吗？_Tinymce_Xss_Text Editor

TinyMCE真的能抵御XSS等常见漏洞吗？

tinymce

TinyMCE真的能抵御XSS等常见漏洞吗？,tinymce,xss,text-editor,Tinymce,Xss,Text Editor,对于那些不知道的人来说，tinymce是博客文章的富文本编辑器。那么，什么样的网站需要像tinymce这样的文本编辑器呢？据我所知，像新闻门户网站：bbc、cnbc等。这些网站可能需要对每篇文章进行富文本管理，而不仅仅是段落、粗体和左对齐作为一名web开发人员，我需要知道我们在为最终用户构建网站时使用的产品/包/库有多安全。在这种情况下，tinymce是问题的焦点 tinymce的工作原理是将纯文本更改为html富文本，例如：hello world。有了这个功能，text-tinymce可以用

对于那些不知道的人来说，tinymce是博客文章的富文本编辑器。那么，什么样的网站需要像tinymce这样的文本编辑器呢？据我所知，像新闻门户网站：bbc、cnbc等。这些网站可能需要对每篇文章进行富文本管理，而不仅仅是段落、粗体和左对齐

作为一名web开发人员，我需要知道我们在为最终用户构建网站时使用的产品/包/库有多安全。在这种情况下，tinymce是问题的焦点

tinymce的工作原理是将纯文本更改为html富文本，例如：

hello world

。有了这个功能，text-tinymce可以用来打开常见的安全漏洞，比如xss。基本的答案是，无论客户端的内容做什么，您都不应该信任它，因为将数据发送到服务器而不通过Javascript执行的任何检查是微不足道的。这适用于TinyMCE，就像适用于任何客户端库一样。应在服务器上再次验证客户端的所有数据

但是，您可以为TinyMCE提供不安全的HTML，并让它在显示之前对其进行清理。默认情况下，TinyMCE将删除脚本、事件处理程序、样式标记和内联SVG。您可以进一步创建非常锁定的HTML。我建议您阅读文档，其中介绍了一些可以提高实现安全性的方法