Ho sviluppato un'applicazione web che consente ai miei utenti di gestire alcuni aspetti di un sito web dinamicamente (sì, un qualche tipo di cms) in ambiente LAMP (debian, apache, php, mysql)Come posso consentire al mio utente di inserire codice HTML, senza rischi? (non solo rischi tecnici)
Bene, per esempio, creano una notizia nella loro area privata sul mio server, quindi questa viene pubblicata sul loro sito web tramite una richiesta CURL (o da ajax).
Le notizie vengono create con un editor WYSIWYG (fck al momento, probabilmente tinyMCE nel prossimo futuro).
Quindi, non posso disabilitare i tag html, ma come posso essere sicuro? Che tipo di tag DEVO eliminare (javascript?)? Che nel senso di essere sicuro per il server .. ma come essere 'legalmente' sicuro? Se un utente usa la mia applicazione per creare xss, posso avere qualche problema legale?
Ho deciso di prendere questa strada, oltre a qualche tipo di passaggi personali. Devo dare la totale libertà ai miei clienti di usare tag html ('cos dell'editor WYSIWYG), limitando solo alcune cose ... spero che tenerlo aggiornato con le ultime porte di sicurezza non sia molto problematico. – Strae
Mi fido molto di più che mi fido dei miei sforzi .... – DGM