Wie kann ich HTML textil und desinfizieren?

Question

Jetzt bin ich in eine dumme Situation geraten. Ich möchte, dass die Benutzer Textile verwenden können, aber sie sollen nicht mit meinem gültigen HTML herumspielen können. Also muss ich das HTML irgendwie escapen.

• html_escape(textilize("Foo")) würde Textile zerstören, während

• textilize(html_escape("Foo")) funktionieren würde, aber verschiedene Textile-Funktionen wie Links (geschrieben als "Linkname":http://www.wheretogo.com/) zerbrechen würde, da die Anführungszeichen in " umgewandelt würden und somit von Textile nicht mehr erkannt werden würden.

• sanitize macht es nicht besser.

Irgendwelche Vorschläge dazu? Ich würde es bevorzugen, für dieses Problem nicht Tidy zu verwenden. Vielen Dank im Voraus.

Answer 1

Für diejenigen, die auf das gleiche Problem stoßen: Wenn Sie das RedCloth gem verwenden, können Sie einfach Ihre eigene Methode definieren (in einem Ihrer Helper).

def safe\_textilize( s )
  if s && s.respond\_to?(:to\_s)
    doc = RedCloth.new( s.to\_s )
    doc.filter\_html = true
    doc.to\_html
  end

Auszug aus der Dokumentation:

Accessors zum Festlegen von Sicherheitsbeschränkungen.

Dies ist eine nützliche Sache, wenn Sie RedCloth zur Formatierung an öffentlichen Orten (z.B. Wikis) verwenden, wo Sie nicht möchten, dass Benutzer HTML für schlechte Dinge missbrauchen.

Wenn filter_html gesetzt ist, wird HTML, das nicht vom Textilprozessor erstellt wurde, escaped. Alternativ, wenn sanitize_html gesetzt ist, kann HTML den Textilprozessor durchlaufen, aber nicht autorisierte Tags und Attribute werden entfernt.

Answer 2

Dies funktioniert für mich und schützt vor jedem XSS-Angriff, den ich ausprobiert habe, einschließlich der onmouse... Handler in pre und code Blöcken:

<%= RedCloth.new( sanitize( @comment.body ), [:filter_html, :filter_styles, :filter_classes, :filter_ids] ).to_html -%>

Das anfängliche Säubern entfernt viele potenzielle XSS-Exploits, einschließlich Mouseovers.

Soweit ich das beurteilen kann: :filter_html entkommt den meisten html Tags abgesehen von code und pre. Die anderen Filter sind dort, weil ich nicht möchte, dass Benutzer Klassen, IDs und Styles anwenden.

Ich habe gerade meine Kommentarseite mit deinem Beispiel getestet

"Foo" 

und es hat das rogue body Tag komplett entfernt

Ich verwende Redcloth Version 4.2.3 und Rails Version 2.3.5

Answer 3

Es sieht so aus, als würde Textil einfach nicht das unterstützen, was du willst.

Du möchtest wirklich nur eine sorgfältig kontrollierte Teilmenge von HTML zulassen, aber Textil ist darauf ausgelegt, beliebiges HTML zuzulassen. Ich glaube nicht, dass du Textil in dieser Situation überhaupt verwenden kannst (es sei denn, es unterstützt diese Art von Einschränkung).

Was du wahrscheinlich brauchst, ist eine spezielle "eingeschränkte" Version von Textil, die nur "sicheres" Markup zulässt (wie das genau definiert werden kann, könnte jedoch schwierig sein). Ich weiß jedoch nicht, ob so etwas existiert.

Du könntest dir BBCode anschauen, das das mögliche Markup einschränken kann.