DK
она только там и может быть
Я не шарю просто
Size: a a a
2020 December 22
A
она только там и может быть
Александр просвяти в двух словах
AP
взять contenteditable див и выдать его куда-то в паблик с сохранением и без защиты это худшее что можно сделать
DK
она только там и может быть
В смысле? Это бекендная задача же — санитайзинг инпута, чтобы то, что ты в этом редакторе нафигачил, не содержало исполняемый код, который запустится на других устройствах. Как это вообще может быть задачей клиента.
A
Понятно что там код через @html вставляется
DK
она только там и может быть
Просто кажется что от такого может защитить только бэк. Ведь на клиенте можно что угодно сделать через консоль...
AP
В смысле? Это бекендная задача же — санитайзинг инпута, чтобы то, что ты в этом редакторе нафигачил, не содержало исполняемый код, который запустится на других устройствах. Как это вообще может быть задачей клиента.
с чего бы? XSS может быть опасна и без сервера вообще. Тебе дадут что-то скопипастить в этот инпут и исполнят от твоего лица что угодно
A
Да и цель то бэк вроде, не?
AP
возьмите какой-нибудь TinyMCE там например все ок
AP
да а ты админ на этом бэке, а исполняется проивзольный жс с твоими правами и дергает любую ручку на беке из твоего браузера
AP
я не знаю почитайте что такое XSS вы его похоже с CSRF путаете =)
DK
с чего бы? XSS может быть опасна и без сервера вообще. Тебе дадут что-то скопипастить в этот инпут и исполнят от твоего лица что угодно
Такой вектор атаки реально существует? "Юзер берёт малварную штуку и вставляет в редактор" — атака примерно уровня "юзер открывает ссылку и в консоль вставляет исполняемый скрипт". Очень много "но" и "если".
DK
я не знаю почитайте что такое XSS вы его похоже с CSRF путаете =)
Ну типа защита от дурака в данном случае получается
AP
Такой вектор атаки реально существует? "Юзер берёт малварную штуку и вставляет в редактор" — атака примерно уровня "юзер открывает ссылку и в консоль вставляет исполняемый скрипт". Очень много "но" и "если".
юзер берет какую-то штуку в которой он не шарит и вставляет в инпут. да это обычный вектор атаки
AP
это как если бы ты в ВК в чатик копипаст сделал с какого-то сайтика в котором oncopy переопределен и вставляет малварь, а при пасте в чат ВК все твои нюд фоточки улетели куда-нибудь
DK
это как если бы ты в ВК в чатик копипаст сделал с какого-то сайтика в котором oncopy переопределен и вставляет малварь, а при пасте в чат ВК все твои нюд фоточки улетели куда-нибудь
Надо в общем прошарить тему, спасибо
AP
например попробуй что-то с РБК выделить и скопировать. Скопируется не то что ты выделил а немного больше
AP
Точно так же там может оказаться не то что ты вылелил а
<img onerror="alert()" src="adsd">EM
tinymce такое выпиливает, прикольно
AP
я кстати не то сообщение процитировал, второй редактор от этого вполне норм защищен, а вот первый нет =)