[PHP / JS] TinyMCE - Sicherheit

[Roin]

Hallo Leute,
ich habe neulich im Internet TinyMCE gefunden.

Ich würde diesen Editor gerne verwenden. Allerdings gibt es die Daten in HTML-Code weiter...
Da dachte ich mich, ich müsste noch auf PHP-Tags und Script-Tags achten, damit die Sicherheit weiterhin gewahrt ist.

Habe ich da noch wichtige Tags vergessen?

LG

[Kugelfisch23]

Ja. Du solltest keinesfalls versuchen, vom Benutzer eingegebenen (X)HTML-Code ohne vollständiges Parsing und Beschränkung der Elemente, Attribute und Attributwerte auf eine Whitelist zu nutzen und wieder auszugeben. Insbesondere können sehr viele Elemente durch Event-Handler-Attribute zur Ausführung von JavaScript benutzt werden, so würde z.B.

HTML-Code:

<img src="fail" onerror="alert('XSS')" alt="" />

zur Ausführung des im onerror-Attribut enthaltenen JavaScript-Codes und damit zu einer XSS-Schwachstelle führen. Analog lassen sich beliebige weitere Event-Handler-Attribute missbrauchen.
Auch geht eine Gefahr von object- und embed-Elementen aus, damit lassen sich aktive Inhalte nachladen, welche u.U. Zugriff auf das aktuelle Dokument haben. Im IE geht auch von nachgeladenen Stylesheets eine direkt Gefahr aus (expression()-Werte erlauben die Ausführung von JavaScript-Code). Zudem kann auch über bestimmte (Pseudo-)URI-Schemen Code im Kontext deiner Site zur Ausführung gebracht werden, z.B. durch javascript-, vbscript- oder data-URIs:

HTML-Code:

<a href="javascript:alert('XSS')">...</a>

Du könntest etwa http://htmlpurifier.org/ nutzen, um das vom Benutzer eingegebene (X)HTML-Markup zu parsen und daraus nach einer Prüfung gegen eine Whitelist valides, in Bezug auf XSS harmloses Markup zu generieren.

[Roin]

Gut dass ich nachgefragt habe - Hätte ich auf Anhieb nicht an alles gedacht.

Dann werde ich mal das schöne Script, was du mir da gezeigt hast verwenden.

Danke