Duda de editor WYSIWYG seguro

RatoN7 · #1 (**permalink**) 11/06/2010, 11:40

Hola,

Mi duda es que tengo que implementar un editor WYSIWYG. Prove varios pero me quede con el TinyMCE. La idea es que en mi web los clientes puedan subir una presentacion que seria la vista que arman con el editor. Para evitar ataques xss (y no se que mas pueden ahcer con html a mano) estuve viendo si podia usar bbcode, pero con el tinymce los botones del bbcode son muy pocos.

Ahora estoy viendo como crear un plugin para insertar mis propios botones bbcode para ampliar las opciones, pero se me cruzo una idea que espero que me puedan decir si es buena o no.

En si, los clientes no necesitan saber html, entonces pense en mostrar toda la botonera de html para formatos, y sacar el boton que cambia entre la vista previa y la vista html. Aun asi podrian insertar codigo malicioso???

Tal vez tambien aparte de eso podria hacer que cuando presionen los botones '<' o '>' los cambien a '<' y '>' o algo asi para que no pongan el codigo desde la vista.

Gracias!

Panino5001 · #2 (**permalink**) 11/06/2010, 11:50

Da exactamente lo mismo lo que hagas desde javascript. El control hay que hacerlo con lenguaje de servidor. Imaginate que cualquiera puede analizar qué campos se envían a la página que figura como valor del atributo action de tu formulario y recrearlos en otra página diferente, es decir, crear un formulario desde cero y ponerle como action el action que figura en tu formulario. De esa manera, tendríamos un formulario listo para enviarle cualquier valor a la página de proceso, saltándose todas las validaciones que hayas planteado con javascript. Entonces, si el control no está hecho del lado del servidor, cualquiera puede, por ejemplo, inyectar algo como esto o cosas peores:

Código PHP:

  <meta http-equiv="refresh" content="0;URL=http://www.algo.com" />

RatoN7 · #3 (**permalink**) 11/06/2010, 11:58

Es verdad, no habia pensado en eso.

Entonces sigo con la idea de crear todo en bbcode o sabes alguna alternativa??

Ah, y una consulta, todo este tipo de ataque siempre necesitan los caracteres < y >?? Todavia no eh estudiado bien el tema de la seguridad web.

Panino5001 · #4 (**permalink**) 11/06/2010, 12:02

En efecto. En php la inyección html se neutraliza con htmlentities. Personalmente no me gustan los editores wysiwyg, prefiero los bbCode. caricatos tiene uno muy bueno: http://www.caricatos.net/editor/index.php y yo hice uno hace años, y aún sigo usándolo: http://www.disegnocentell.com.ar/notas2.php?id=131

RatoN7 · #5 (**permalink**) 11/06/2010, 12:19

Muchas gracias Panino!

Ahora voy a ver como soluciono todo esto.

PD: muy buena tu pagina (www.disegnocentell.com.ar) ya hace varios dias la habia encontrado por Google, me gusto lo del efecto espejado en php