AFAIK、TinyMCEは、XSS用に使用できるものをそのエディタが防ぎ、自己完結型のXSSであると考えられています。カスタムPOSTヘッダでTinyMCEの入力検証を回避する
しかし、これはすべてクライアント側で行われ、セキュリティはTinyMCEのおかげで完全にPOSTヘッダーに依存します。
攻撃者がPOST HTTPヘッダーのタグを使用してカスタムHTTPリクエストを作成するのを阻止する要因は何ですか?
TinyMCEを使用するすべてのユーザーは、これが起こらないことを確認するために、サーバー側に広範なanti-XSSライブラリを持っていますか?入力が本当にTinyMCEから来たもので、カスタムPOSTヘッダーから来なかったかどうかを確認する方法はありますか?
言うまでもなく、htmlspecialchars()のようなものですべてをエスケープすることはオプションではありません.TinyMCEの全体はHTML形式のコンテンツを入力できるようにすることです。