Quali sono i rischi per la sicurezza degli editor WYSIWYG HTML / CSS / JS in esecuzione come servizio Web?

1

Attualmente sto implementando l'editor WYSIWYG che sarà disponibile sul Web, quali sono i principali problemi di sicurezza che dovrei affrontare? L'editor attualmente funziona che quando l'utente ha finito di digitare, il testo viene salvato nella cartella con il testo dell'editor sullo stesso dominio e l'iframe viene aggiornato con il suo contenuto.

So che quando si tratta di JS, qualcuno potrebbe scalare il DOM dalla finestra principale, ma come potrebbe influire sulla sicurezza del mio sito web?

Le istanze dell'editor non sono condivisibili tra gli utenti e non lo saranno mai. Solo gli amministratori possono visualizzare tutte le istanze.

    
posta UsernameNotFound 16.01.2017 - 08:43
fonte

1 risposta

1

L'input dell'utente (in particolare una disposizione deliberata di) è quasi sempre un vettore per possibili vulnerabilità.

Detto questo, un editor WYSIWYG pienamente implementato implementato in HTML / CSS / Javascript può introdurre vulnerabilità cross-site scripting (XSS), oltre a scherzi "carini" come blocchi div visibili che coprono le pagine del tuo sito, al fastidioso JS avvisi basati su malintenzionati che attivano un servizio web canaglia et.al. a meno che non filtri i tag e sfugga correttamente l'HTML generato.

    
risposta data 16.01.2017 - 09:02
fonte

Leggi altre domande sui tag