我想保護我的應用程式免受攻擊,所以我想在我的 CKEditor 配置中禁用任何型別的執行,所以我找到了一個解決方案,allowContent: false它可以防止 CKEditor 中的<scripts>標簽,但在放入 CKEditor 之后<p><a href="javascript:(alert(document.domain))">XSS</a></p>,它會執行里面的 js href。
配置
config = {
...,
allowContent: false
}
現在下面的腳本在放置上面的配置后不起作用:
<script>alert(1)</script>
我也想阻止下面的js,href但目前,它正在執行
<p><a href="javascript:(alert(document.domain))">XSS</a></p>
uj5u.com熱心網友回復:
您必須清理輸入到 CKEditor 的資料。CKEditorconfig.htmlEmbed.sanitizeHtml選項允許插入外部消毒劑。
在我看來,目前最好的消毒劑是DOMPurify庫。
以下是有關在 CKEditor 中包含 DOMPurify 的更多資訊:更多資訊。
在我看來,“自己”很難保護 CKEditor,所以最好使用消毒劑。該軟體存在一些安全問題,此處描述了一個有趣的示例:CKEditor XSS
轉載請註明出處,本文鏈接:https://www.uj5u.com/gongcheng/417747.html
標籤: