जब एक क्लाइंट को अपनी वेबसाइट पर रिच टेक्स्ट एडिटिंग की आवश्यकता होती है तो आप क्या करते हैं?

जैसा कि हम सभी अब तक जानते हैं, XSS के हमले खतरनाक और खींचने में आसान होते हैं । विभिन्न रूपरेखाएँ HTML को एनकोड करना आसान बनाती हैं, जैसे ASP.NET MVC करता है:

<%= Html.Encode("string"); %>

लेकिन तब क्या होता है जब आपके क्लाइंट को आवश्यकता होती है कि वे अपनी सामग्री को सीधे Microsoft Word दस्तावेज़ से अपलोड कर सकें?

यहाँ परिदृश्य है: लोग एक WYSIWYG संपादक (इस मामले में LittleMCE ) में Microsoft शब्द से सामग्री को कॉपी और पेस्ट कर सकते हैं , और फिर उस जानकारी को एक वेब पेज पर पोस्ट किया जाता है।

वेबसाइट सार्वजनिक है, लेकिन उस संगठन के केवल सदस्यों के पास वेबपृष्ठ पर जानकारी पोस्ट करने के लिए पहुंच होगी।

मैं एक सुरक्षित तरीके से इन आवश्यकताओं को कैसे संभालूं? वर्तमान में ग्राहक के पोस्ट (केवल 'विश्वसनीय' उपयोगकर्ता पोस्ट कर सकते हैं) पर कोई जाँच नहीं की गई है, लेकिन मैं इससे विशेष रूप से खुश नहीं हूँ और खाता हैक होने की स्थिति में इसे और लॉक करना चाहूंगा।

एकमात्र वैचारिक विधि जिसके बारे में मुझे पता है कि इन आवश्यकताओं को पूरा करने के लिए HTML टैग्स को श्वेतसूची में रखना है और उन लोगों को गुजरना चाहिए । क्या कोई और तरीका है? यदि नहीं, तो किसी भी रूप में डेटाबेस में उपयोगकर्ता स्टोर इनपुट को सुरक्षित करने का एक सुरक्षित तरीका क्या है, लेकिन केवल इसे अच्छी तरह से एन्कोडेड और खराब टैग से छीन लिया गया है?

संबंधित प्रश्न

क्रॉस साइट स्क्रिप्टिंग (XSS) को रोकना

(एक डेवलपर के रूप में आप के लिए) सबसे आसान तरीका है शायद के कई रूपों में से एक को लागू करना है Markdown उदाहरण के लिए, Markdown.NET , या और भी बेहतर (imho), एक wmd-संपादक ।

फिर, आपके उपयोगकर्ता सरल HTML पेस्ट कर सकेंगे, लेकिन कुछ भी खतरनाक नहीं होगा, और वे अपने दर्ज किए गए डेटा का पूर्वावलोकन करने में सक्षम होंगे और पोस्ट करने से पहले ही किसी भी जांच को सीधा कर देंगे ...

व्हिटेलिस्टिंग वास्तव में XSS हमलों को रोकने का सबसे अच्छा तरीका है जब उपयोगकर्ताओं को HTML में प्रवेश करने की अनुमति मिलती है, या तो सीधे या रिच टेक्स्ट एडिटर का उपयोग करते हुए।

आपके अन्य सवालों के बारे में:

क्या एक WYSIWYG संपादक है जिसमें मक्खी पर श्वेतसूची की क्षमता शामिल है?

मुझे नहीं लगता कि यह काम कर सकता है। इसके लिए आपको सर्वर साइड कोड की आवश्यकता होती है और क्लाइंट पर आरटीई चलता है।

यदि आप चाहते हैं तो TinyMCE टैग को फ़िल्टर करता है, लेकिन चूंकि यह ब्राउज़र में होता है इसलिए आप इस पर भरोसा नहीं कर सकते। Extended_valid_elements देखें । TinyMCE (मोक्सी) भी सफ़ेद करने का सुझाव देता है, यहाँ देखें ।

क्या मुझे इस बारे में चिंता करनी चाहिए क्योंकि यह केवल 'निजी पोस्टिंग' के लिए होगा

आपको हमेशा HTML को फ़िल्टर करना चाहिए जब तक कि विशिष्ट कारण न हों (बहुत दुर्लभ)। कुछ कारण: ए) कार्यक्षमता जो आंतरिक उपयोगकर्ताओं के लिए है शायद आज कल जनता के लिए है) अनधिकृत पहुंच का प्रभाव कम होगा

उन्हें किसी भी रूप में डेटाबेस में संग्रहीत करने का सबसे अच्छा तरीका है, लेकिन केवल इसे अच्छी तरह से एन्कोडेड और बुरे टैग से छीन लिया गया है?

इस तरह से मैं इसे पसंद करता हूं। मुझे विभिन्न कारणों से डेटाबेस में डालने से पहले उपयोगकर्ता इनपुट को बदलना पसंद नहीं है।

मैं वही काम कर रहा हूं। मैं TinyMCE का उपयोग कर रहा हूं और वर्ड दस्तावेजों से चिपकाने की अनुमति देता हूं। केवल कुछ लोग जो साइट को बनाए रखते हैं वे एक व्यवस्थापक क्षेत्र के माध्यम से ऐसा कर सकते हैं। यह ASP.Net सदस्यता द्वारा सुरक्षित है। जब यह सार्वजनिक साइट पर भेजा जाता है तो मैं HTML.Encode कर रहा हूं।

यदि आप डेटाबेस में रखना चाहते हैं तो आप नीचे दिए गए कोड का उपयोग कर सकते हैं, लेकिन यह सुनिश्चित नहीं करें कि इससे प्रभावित होने वाली दस्तक आपको क्या देगी। आपको अपने श्वेतसूची के साथ जाना पड़ सकता है।

 /// <summary>
    /// Strip HTML
    /// </summary>
    /// <param name="str"></param>
    /// <returns></returns>
    public static string StripHTML(string str)
    {
        //Strips the HTML tags from strHTML 
        System.Text.RegularExpressions.Regex objRegExp = new System.Text.RegularExpressions.Regex("<(.|\n)+?>");

        // Replace all tags with a space, otherwise words either side 
        // of a tag might be concatenated 
        string strOutput = objRegExp.Replace(str, " ");

        // Replace all < and > with < and > 
        strOutput = strOutput.Replace("<", "<");
        strOutput = strOutput.Replace(">", ">");

        return strOutput;
    }

एक विकल्प .NET के लिए HTML एडिट कंट्रोल हो सकता है (जो मैंने लिखा था)।

यह .NET के लिए एक WYSIWYM HTML संपादक है, जो तत्वों को छोड़कर केवल HTML तत्वों के एक सबसेट का समर्थन करता है<script> : तो इस तरह से यह श्वेतसूची के रूप में कार्य करता है।

यदि यह आंतरिक उपयोग (यानी इंट्रानेट साइट) के लिए है, तो नियंत्रण को एक वेब पेज में एम्बेड किया जा सकता है ।

मैंने वर्ड से चिपकाने के लिए समर्थन को एकीकृत नहीं किया है, लेकिन मेरे पास एक घटक है जो उस दिशा में एक कदम है: डॉक टू HTML कनवर्टर ; इसलिए मेरे पास बिल्डिंग ब्लॉक हैं जिनका उपयोग आप ASP.NET में डॉक को HTML में बदलने के लिए कर सकते हैं, संपादक में HTML प्रदर्शित कर सकते हैं, आदि।

जब तक आप सार्वजनिक नहीं होंगे, मेरा IMHO अपने उपयोगकर्ताओं पर भरोसा करता रहेगा।

खैर, अपनी आवश्यकताओं को प्राप्त करने का कोई विश्वसनीय तरीका नहीं है। उदाहरण के लिए कोई भी WYSIWYG संपादक URL (अप्रत्यक्ष उपयोग ट्रैक, अवैध सामग्री) या पाठ (अवैध पाठ, गलत पाठ, छूटा हुआ पाठ) के साथ छवियों को सम्मिलित करने में विफल रहता है।

मेरा नज़रिया यह है कि यदि आप अपने उपयोगकर्ताओं पर भरोसा कर सकते हैं, तो बस सबकुछ अनुमति दें, यदि उपयोगकर्ताओं को पता है कि क्या कम खतरनाक मार्कअप हैं (उन्हें त्रुटियों से बचाए रखने के लिए)।

यदि आपको भरोसा नहीं है, तो विशेष मार्कअप (जैसे मार्कडाउन) का उपयोग करें।

मेरी परियोजना में हम संभावित खतरनाक सामग्री के लिए विशेष प्रकार का उपयोग करते हैं और ऐसी सामग्री को प्रस्तुत करने और स्वीकार करने के लिए विशेष तरीके। इस कोड में हमारे थ्रेड मॉडल में उच्च निशान है और इस पर ध्यान बहुत अधिक है (उदाहरण के लिए प्रत्येक परिवर्तन की समीक्षा दो स्वतंत्र कोडर द्वारा की जानी चाहिए, हमारे पास व्यापक परीक्षण सूट है और इसी तरह)।