he desarrollado una aplicación web, que permite a mis usuarios para gestionar algunos aspectos de un sitio web de forma dinámica (sí, algún tipo de CMS) en el entorno de la lámpara (Debian, Apache, PHP, MySQL)¿Cómo puedo permitir que mi usuario inserte código HTML, sin riesgos? (no sólo los riesgos técnicos)
Bueno, por ejemplo, crean noticias en su área privada en mi servidor, luego esto se publica en su sitio web a través de una solicitud de cURL (o por ajax).
La noticia se crea con un editor WYSIWYG (fck en este momento, probablemente tinyMCE en el futuro).
Por lo tanto, no puedo rechazar las etiquetas html, pero ¿cómo puedo estar seguro? ¿Qué tipo de etiquetas DEBO eliminar (javascripts?)? Eso en el sentido de ser seguro para el servidor ... pero ¿cómo ser 'legalmente' seguro? Si un usuario usa mi aplicación para hacer xss, ¿puedo tener algunos problemas legales?
Decidí tomar este camino, más algún tipo de pasos personales. Debo dar la total libertad a mis clientes para usar etiquetas html ('cos del editor WYSIWYG), restringiendo solo ciertas cosas. Espero que mantenerlas actualizadas con las últimas puertas de seguridad no sean muy problemáticas. – Strae
Confío mucho más en que confío en mis propios esfuerzos ... – DGM