TinyMCE真的不会受到常见漏洞的攻击吗？

Question

对于那些不了解tinymce的人来说，tinymce是博客文章的富文本编辑器。那么，什么样的网站需要像tinymce这样的文本编辑器，据我所知，像新闻门户网站: bbc，cnbc等这些网站可能需要对每个帖子进行功能丰富的文本管理，而不仅仅是段落，粗体和左对齐。

作为一名web开发人员，我需要知道我们在为最终用户构建网站时所使用的产品/包/库有多安全。在这种情况下，tinymce是问题的焦点。

tinymce的工作原理是将纯文本转换为html富文本，例如：<p style="font-size:50px; color:blue;">hello world</p>。有了这个功能，文本tinymce就可以用来打开常见的安全漏洞，比如xss

Answer 1

基本的答案是，您永远不应该信任来自客户端的内容，无论它做什么，因为向服务器发送不经过Javascript中执行的任何检查的数据是微不足道的。这适用于TinyMCE，就像它适用于任何客户端库一样。来自客户端的所有数据都应该在服务器上再次验证。

但是，您可以赋予TinyMCE不安全的超文本标记语言，并让它在显示之前对其进行清理。默认情况下，TinyMCE将删除脚本、事件处理程序、样式标签和内联SVG。你可以进一步使用restrict the valid content来创建非常严格的超文本标记语言。我建议阅读security documentation，它记录了许多可以提高实现安全性的方法。