# ramzes (06.04.2016 / 23:57)
эммммм... на экране что? плевать что в текстареа и в бд.
На экране реезультат рендеринга браузером html кода
а не его строчная интерпретация.
суть в том что это лишает всякого смысла использование редактора, html перестанет отображаться как html, тогда и зачем это?
Ты дальше не читаешь?
Прежде чем текст из статьи отдается обратно в textarea для редактирования, html сущности декодируются обратно "<" => "<"
ЗЫ честно говоря, я наверно переборщил с этим, надо было просто экранировать ковычки.
Blade, экран кавычек спасет от sql inj , а вот xss проскочит
# Koenig (07.04.2016 / 00:07)
Blade, экран кавычек спасет от sql inj , а вот xss проскочит
Базе от xss ни тепло ни холодно, в ней текст лежит (который добавляется только из админки, комментов на сайте нет), если редактор умышленно вставил xss, то тут ничто не спасет, вырезку я не делал.
# Blade (07.04.2016 / 00:09)
вырезку я не делал.
вот с этого и надо было начинать.
ты просто оставил хсс
не знаю, может у тебя такова суть сайта, что воровать не чего (если доступ к написанию только у тебя). но по сути это дырень. просто сольют куки и все
# ramzes (07.04.2016 / 00:17)
вот с этого и надо было начинать.
ты просто оставил хсс
не знаю, может у тебя такова суть сайта, что воровать не чего (если доступ к написанию только у тебя). но по сути это дырень. просто сольют ку
не по теме, конечно, но как ты сольешь куки, если всё, что есть на сайте, добавляется исключительно администраторами?
Даже фишинговую страницу не подсунешь, разве что использовать социальную инженерию
# Blade (07.04.2016 / 00:26)
не по теме, конечно, но как ты сольешь куки, если всё, что есть на сайте, добавляется исключительно администраторами? Даже фишинговую страницу не подсунешь, разве что использовать социальную инжене
ключевой момент, вопрос стоит о защите, твой вариант к этому явно не относится. есть у меня блог, я там один пишу, и тоже ни чего не фильтрую от редактора, но это не существенно. по скольку вопрос "как", а не "надо ли"
юзерам не скажешь "не суйте гадость в скрипт, ай-яй-яй, а-та-та бо-бо"
# ramzes (07.04.2016 / 00:32)
ключевой момент, вопрос стоит о защите, твой вариант к этому явно не относится. есть у меня блог, я там один пишу, и тоже ни чего не фильтрую от редактора, но это не существенно. по скольку вопрос "ка
Ну тут жа, ты прав. Защита у меня от xss лишь проверка авторизации.
юзерам не скажешь "не суйте гадость в скрипт, ай-яй-яй, а-та-та бо-бо"
А юзеров у меня нет, есть только администраторы. Причем вряд ли они сами будут вставлять xss вставки в страницы
ну я уже понял. согласен, раз нет необходимости, то и жесткий фильтр делать не за чем.
но тут вопрос именно о свободном доступе пользователей к редактору
ramzes, наверное я не фанат оформлять что либо, по мне лишнее это все, не проще ли сразу писать хтмлом?
Koenig, о том и речь. пост не текстом идет, он идет html, хранится html, выводится html
но это накладывает определенные риски, от которых и надо защитится.
в том и заморочка