HtmlTidy és társai - user input biztonság
Sziasztok!
A véleményetekre és tapasztalatotokra vagyok kíváncsi azzal kapcsolatban, hogy mennyire használhatóak, biztonságosak a mai "HTML-tisztító" függvénykönyvtárak.
Igazából azon töröm a fejem, hogy készülő wikipedia-szerű projektem felületszerkesztőét egy fejlett editor-ra, pl a TinyMce-re bízom - azonban én még úgy tanultam, hogy nem ajánlott a mindennapi user kezébe html-kód szerkesztőt adni, hiszen nagy a biztonsági kockázata (XSS, Sql injection, stb.). Korábbi munkáimnál csak az adminok számára volt engedélyezve a lehetőség.
Kérdésem, hogy megoldást jelentenek e a mai html szűrők, mint pl.
HTML Tidy
HTML Purifier - 3.0-ás változata épp a napokban jelent meg, és css stílusformázást, egyéb nyalánkságokat is tartalmaz
SafeHTML - eddig minden projektemnél ezt használtam user input szűrésre, de félek lassan kiöregedik szegény, fejleszteni meg csak nem akarják...
Teszteltem az utóbbi kettőt a weblaboron egy korábban megjelent XSS cheatsheet segítségével, és mindkettő eltávolította a veszélyes kódokat (a HTMLPurifier benthagyott pár dolgot, a kommentezéssel egybekötött xss támadásoknál, de szerintem elégséges kódot vágott ki, hogy ne működjön a támadás).
Ez valójában már a B-terv, eredetileg egy ultimate html to bbcode konverterbe kezdtem a tinymce kimenetéhez (a gyári bbcode plugin még eléggé gyermekcipőbe jár), de látva, hogy ez nem kis meló a sok formázási lehetőség miatt, szeretném tudni megéri e, vagy ma már felesleges aggódni az említett kódtisztítók mellett.
A válaszokat előre is köszönöm!
■ A véleményetekre és tapasztalatotokra vagyok kíváncsi azzal kapcsolatban, hogy mennyire használhatóak, biztonságosak a mai "HTML-tisztító" függvénykönyvtárak.
Igazából azon töröm a fejem, hogy készülő wikipedia-szerű projektem felületszerkesztőét egy fejlett editor-ra, pl a TinyMce-re bízom - azonban én még úgy tanultam, hogy nem ajánlott a mindennapi user kezébe html-kód szerkesztőt adni, hiszen nagy a biztonsági kockázata (XSS, Sql injection, stb.). Korábbi munkáimnál csak az adminok számára volt engedélyezve a lehetőség.
Kérdésem, hogy megoldást jelentenek e a mai html szűrők, mint pl.
HTML Tidy
HTML Purifier - 3.0-ás változata épp a napokban jelent meg, és css stílusformázást, egyéb nyalánkságokat is tartalmaz
SafeHTML - eddig minden projektemnél ezt használtam user input szűrésre, de félek lassan kiöregedik szegény, fejleszteni meg csak nem akarják...
Teszteltem az utóbbi kettőt a weblaboron egy korábban megjelent XSS cheatsheet segítségével, és mindkettő eltávolította a veszélyes kódokat (a HTMLPurifier benthagyott pár dolgot, a kommentezéssel egybekötött xss támadásoknál, de szerintem elégséges kódot vágott ki, hogy ne működjön a támadás).
Ez valójában már a B-terv, eredetileg egy ultimate html to bbcode konverterbe kezdtem a tinymce kimenetéhez (a gyári bbcode plugin még eléggé gyermekcipőbe jár), de látva, hogy ez nem kis meló a sok formázási lehetőség miatt, szeretném tudni megéri e, vagy ma már felesleges aggódni az említett kódtisztítók mellett.
A válaszokat előre is köszönöm!
összehasonlítás