Фильтрация javascript TinyMCE перед выводом
Я использую TinyMCE в текстовом поле, которое отправляется на сервер и хранится в базе данных. Примером того, что у меня есть в базе данных, может быть:
<p><script>console.info("mce");</script></p>
Итак, javascript уже экранирован. Моя проблема в том, что если злоумышленник обходит TinyMCE и просто отправляет необработанные данные в текстовую область с неэкранированным javascript.
Когда другому пользователю нужно отобразить это, как я могу безопасно вывести это? Я не могу использовать htmlspecialchars, так как мне нужен сам html-контент. Я мог бы вручную проверить на стороне сервера (Laravel) любые теги <script></script и переписать их, но как насчет встроенного javascript?
![Безумие обратных вызовов в javascript [JS]](https://i.imgur.com/WsjO6zJb.png)
Ответы 1
Вы никогда не можете предполагать, что данные, предоставленные вам на стороне клиента, являются «чистыми» или «безопасными». Как вы правильно догадались, мошенники могут обойти ваш интерфейс и всю его проверку.
Вы всегда должны правильно настраивать интерфейс. Проверьте данные, настройте TinyMCE, чтобы разрешить только те типы тегов, которые вы хотите создать, и т. д.
Тем не менее, независимо от дизайна внешнего интерфейса, вы всегда должны перепроверять отправленный контент на сервере, чтобы быть в безопасности. Обойти эту потребность просто невозможно.
Существует множество различных библиотек, которые вы можете использовать на стороне сервера для такой проверки/очистки, включая HTML Purifier, упомянутый в комментарии к вашему исходному сообщению.
Вы можете использовать Очиститель HTML для фильтрации отправки перед ее добавлением в базу данных. Он работает в PHP.