哪个WYSIWYG编辑器有最好的安全声誉？

Question

我想使用一个预先构建的WYSIWYG编辑器，如TinyMCE或CKEditor，在一个网站，我正在建设。

由于我希望我的用户在编辑器中输入机密信息，所以它必须尽可能安全。

是否有任何WYSIWYG编辑器在安全性方面享有特别好的声誉？

Answer 1

问题不是WYSIWYG编辑器。它们是客户端代码。这些编辑器的问题是，当它们与服务器端集成以发布内容或执行图像上传时。

坏名声的大部分来自于他们被纳入一个CMS插件。这些与服务器端代码库集成的代码，或者并不总是安全地编码，或者攻击是在与WYSIWYG编辑器无关的代码中找到的。由于对服务器端的攻击起源于WYSIWYG编辑器，因此它会受到指责，尽管可以从文本区域或POST请求对易受攻击的脚本进行相同的攻击。

请记住，它们可能提供与服务器端语言集成的教程。但这些只是示例，不应用作生产准备脚本。不幸的是，人们使用这些脚本并与它们一起运行。因此，尽管需要将错误归咎于懒惰的开发人员，WYSIWYG编辑器还是会受到指责。

您提到的两个编辑器都维护得很好，两者都不会出错。但是，如果您没有使用CMS插件，那么安全的编码就取决于您了。

编辑:提到客户端的XSS攻击，同样适用。您的服务器端正在将该数据推送给WYSIWYG编辑器。它期待你发送的任何东西，这是你希望它展示的东西。恶意代码的卫生需要在您的一方进行，然后才能给客户端喂食。