カスタムPOSTヘッダでTinyMCEの入力検証を回避する

Question

AFAIK、TinyMCEは、XSS用に使用できるものをそのエディタが防ぎ、自己完結型のXSSであると考えられています。

しかし、これはすべてクライアント側で行われ、セキュリティはTinyMCEのおかげで完全にPOSTヘッダーに依存します。

攻撃者がPOST HTTPヘッダーのタグを使用してカスタムHTTPリクエストを作成するのを阻止する要因は何ですか？

TinyMCEを使用するすべてのユーザーは、これが起こらないことを確認するために、サーバー側に広範なanti-XSSライブラリを持っていますか？入力が本当にTinyMCEから来たもので、カスタムPOSTヘッダーから来なかったかどうかを確認する方法はありますか？

言うまでもなく、htmlspecialchars（）のようなものですべてをエスケープすることはオプションではありません.TinyMCEの全体はHTML形式のコンテンツを入力できるようにすることです。

Answer 1

クライアント側からのものを信じることはできません。攻撃者はあなたが追加したものを無効にするためにTinyMCEを変更することさえできます。

サーバサイドでは、OWASP AntiSamyやHTMLPurifierのようなものを使うことができます。これにより、許可するタグ（ホワイトリストのタグと属性）を指定できます。