Tôi đã phát triển một ứng dụng web, cho phép người dùng của tôi quản lý một số khía cạnh của trang web động (có, một số loại cm) trong môi trường LAMP (debian, apache, php, mysql)Tôi làm cách nào để cho phép người dùng chèn mã HTML mà không gặp rủi ro? (không chỉ rủi ro kỹ thuật)
Ví dụ:Ví dụ: họ tạo tin tức trong khu vực riêng của họ trên máy chủ của tôi, sau đó điều này được xuất bản trên trang web của họ thông qua yêu cầu cURL (hoặc bằng ajax).
Tin tức được tạo bằng trình soạn thảo WYSIWYG (fck tại thời điểm này, có thể là tinyMCE trong tương lai tiếp theo).
Vì vậy, tôi không thể không cho phép các thẻ html, nhưng làm cách nào để tôi có thể an toàn? Loại thẻ nào tôi phải xóa (javascripts?)? Điều đó có nghĩa là an toàn cho máy chủ .. nhưng làm thế nào để được 'hợp pháp' an toàn? Nếu người dùng sử dụng ứng dụng của tôi để tạo xss, tôi có thể gặp một số vấn đề pháp lý không?
Tôi quyết định thực hiện theo cách này, cộng với một số bước cá nhân. Tôi phải cung cấp cho tổng số tự do để costumers của tôi để sử dụng thẻ html ('cos của trình soạn thảo WYSIWYG), hạn chế chỉ những điều nhất định .. tôi hy vọng rằng giữ cho nó cập nhật với các cửa an ninh mới nhất sẽ không có nhiều vấn đề. – Strae
Tôi tin tưởng nó nhiều hơn nữa mà tôi tin tưởng những nỗ lực của riêng tôi .... – DGM