관리자가 임의의 HTML로 WSYWIG 편집기를 통해 사이트의 한 페이지 섹션을 편집 할 수있는 사이트가 있습니다. 이 임의의 HTML을 다른 사용자에게 안전하게 제공하는 방법.WSYWIG 편집기에서 임의로 사용자가 업로드 한 콘텐츠를 안전하게 렌더링합니다.
기본적인 의도는 XSS 오류 (즉, 사용자가 쿠키를 도난당한 상태로 만들 수 있음)를 제거하는 것입니다.
iframe, frame, embed, style, video, object 등 사용자가 입력 할 수 없도록 HTML 태그의 하위 집합을 안전하지 않습니다.
그러나 iFrames 또는 스타일 태그를 필터링하는 것은 유용하지 않습니다. 케이스는 관리자가 YouTube 동영상을 업로드하고 텍스트 스타일을 지정할 수 있어야하기 때문입니다.
콘텐츠 관리 시스템은 사용자가 업로드 한 콘텐츠로 인해 실행될 수있는 코드가 무엇이든 상관없이 별도의 도메인 (예 : content.mysite.com)에서 사용자 업로드 콘텐츠를 제공하는 경우가 있다고 들었습니다. 동일한 출처 정책으로 인해 내 사이트의 쿠키 (예 : app.mysite.com)를 훔칩니다.
그러나 이것은 내 사이트가 CMS가 아니기 때문에 나에게 과장된 솔루션 같아 보입니다.
임의의 사용자 정의가 가능한 한 페이지 (관리자 만 편집 가능)의 한 부분 만 있습니다.
그래서이 문제를 해결할 방법이 있습니까?
iframe에 임의의 콘텐츠를 포함 시키면 사용자가 안전하게 지킬 수 있습니까?
미리 감사드립니다.
잠재적 인 관련성 : 내가 사용하는 프레임 워크는 Ruby on Rails입니다.
WSYWIG 편집기 란 무엇입니까? – 1615903