Project

General

Profile

Support #12664

TinyMCE: report/remove malicous HTML/JS Code

Added by Carsten Rose 6 months ago. Updated 1 day ago.

Status:
New
Priority:
Normal
Assignee:
Target version:
Start date:
09.06.2021
Due date:
% Done:

0%

Estimated time:
Discuss:

Description

Damit TinyMCE sinnvoll genutzt wird, darf der Content nicht htmlspecialchar kodiert gespeichert werden.

Aber: wird der Code 1:1 gespeichert, koennte ein Angreifer Javascript injizieren und z.B. die PHP Session abgreifen (JS in einem HTML Attribut, oder einfach <script>...).

Es ist wichtig den Code zu checken und entweder zu bereinigen oder abzulehnen.

Also available in: Atom PDF