Позволяет ли полнотекстовый HTML (фильтр HTML) вводить все роли пользователей?

Предоставляет полный ввод HTML для всех пользовательских ролей, если я разрешаю фильтр HTML?

4 голоса | спросил Matthew Hui 3 PM000000100000005831 2011, 22:37:58

2 ответа


5

Только доверенные роли и пользователи должны иметь доступ к Full HTML. Вы можете добавить дополнительные допустимые теги в формат Filtered HTML, но не добавляйте слишком много или вы рискуете создать уязвимость. (Администратор /настройки /фильтры)

ответил Jukebox 3 PM000000110000001831 2011, 23:46:18
5

На самом деле не имеет значения, что такое имя входного формата, если «ненадежные» пользователи (см. определение доверенных ролей ) разрешено вводить небезопасные HTML-теги, тогда ваш сайт небезопасен.

Вы можете сделать файл формата Filtered HTML небезопасным, добавив к нему неправильные теги или сделайте безопасный формат ввода «Полный HTML», изменив его конфигурацию.

Я предлагаю установить модуль Обзор безопасности и настроить его, чтобы узнать, какие роли вашего сайта вам доверяют. Затем он проанализирует ваши входные форматы, чтобы узнать, какие из них безопасны, а какие нет. Он также имеет документацию и ссылки на дополнительные ресурсы, если он определяет, что некоторые из ваших входных форматов являются небезопасными. Один большой ресурс - это страница справочника настройка форматов ввода для безопасности .

Если вы хотите сделать другой формат ввода по умолчанию для своих администраторов и ваших обычных пользователей, попробуйте Улучшенные форматы .

ответил greggles 4 PM00000070000004931 2011, 19:19:49

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132