Attualmente sto lavorando su un CMS / Framework che ho sviluppato che è simile a Wordpress, in quanto è una piattaforma per gli amministratori per creare / pubblicare contenuti per gli utenti.
Sto salvando l'HTML generato dai campi dell'editor nel mio database e legando l'HTML all'interno della mia risposta JSON nel client per essere visualizzato una volta recuperato. Tuttavia, spesso, viene eseguita molta sanitizzazione per visualizzare l'HTML da proteggere dagli attacchi XSS. Che sicuramente capisco perché.
Tuttavia, in questo caso in cui l'amministratore del sito sta generando il contenuto. Finché gli amministratori adottano altre azioni di sicurezza (come la protezione dei loro account con password complesse e la protezione dei loro server) e non sono malevoli da soli, è possibile affermare che l'HTML è affidabile e non deve essere considerato vulnerabile a XSS corretto? Presto scriverò presto la documentazione sul framework e vorrei richiamare tutti gli avvertimenti che il framework potrebbe avere, in modo che gli sviluppatori siano a conoscenza.
Qualsiasi consiglio sarebbe apprezzato. O se ci sono altre grandi falle nella sicurezza dovrei cercare, per favore fammi sapere.
Grazie!