Cześć,
mam taki dylemat, czy zezwolić na pełne użycie html-u użytkownikowi, który tworzy pewien szablon html a potem szablon trafia do pdf-u i jest zwracany tylko temu użytkownikowi. Szablony nie będą wyświetlane innym użytkownikom serwisu, jak i również wszelkie <script> z szablonu zostaną usunięte.
Co o tym myślicie?
Myśl w drugą stronę: dlaczego by nie?
Nie zapomnij jednak o usuwaniu wszelkich atrybutów onclick, onload etc., ponieważ samo <script> to drobnostka.
jesli to ma byc jakis szablon to nie lepiej uzyc wysiwyga??
szalonyfacet napisał(a):
jesli to ma byc jakis szablon to nie lepiej uzyc wysiwyga??
Jest wysiwyg, zmierzasz do tego bym kontrolował po stronie serwera używane znaczniki HTML?.
A z drugiej strony co mi grozi od strony security jak bym nic nie ruszał w tym szablonie ?. Szablon HTML trafia do biblioteki PHP fpdf i tam jest przetwarzany na pdf-a
A z drugiej strony co mi grozi od strony security jak bym nic nie ruszał w tym szablonie ?. Szablon HTML trafia do biblioteki PHP fpdf
W tym przypadku jedynie atak Denial Of Service. Na hostingu strzelam, że masz max 8 interpreterów php na raz, a KAŻDA biblioteka do PDF w PHP to zbiorowisko bugów, dziur i łakomstwa na pamięć i CPU - można łatwo spreparować dokument, który będzie się ładował tak długo, aż nie przerwie go timeout.
No i nie wiem czy pozwalasz na ładowanie zewnętrznych adresów - to dodatkowo może narobić problemów jak wstawię sobie 1GB plik jako src w tagu <img />.
Raczej nic poza tym Ci nie grozi.
wysiwyg wytnie ci te znaczniki automatycznie, wiec jedynie ktos kto bedzie chcial zrobic injection, ale takie cos to pierwsza lepsza biblioteka do usuwania znacznikow html w php ci sie nada i tyle. Pamietaj o zasadzie. Domyslnie nic nie wolno. Bo skad wiesz czy fpdf nie ma jakiegos vulnerability gdzie wyslanie do PDF pewnego spreparowanego kawalka kodu nie pozwoli na cos wiecej niz tworzenie pdf. (wszak fpdf ma mozliwosc zapisu na dysku serwera). Wiec to bedzie dzialac na zasadzie, dopoki nikt nie znajdzie dziury, a po co ci takie cos ?
Cześć,
mam taki dylemat, czy zezwolić na pełne użycie html-u użytkownikowi, który tworzy pewien szablon html a potem szablon trafia do pdf-u i jest zwracany tylko temu użytkownikowi. Szablony nie będą wyświetlane innym użytkownikom serwisu, jak i również wszelkie <script> z szablonu zostaną usunięte.
Pomijając czy to dobry pomysł czy zły, o tym już inni piszą.
Należy robić whitelisting a nie blacklisting. Czyli masz listę dozwolonych tagów, a nie listę zabronionych.
Jest bardzo dużo sposobów na zrobienie XSSa, i sam ich wszystkich nie przewidzisz, bo nie jesteś ekspertem (a ja się trochę na tym znam, i też nie wierzyłbym sobie w robieniu blacklisty - bo zawsze się znajdzie ktoś lepszy ode mnie). A nawet jeśli hipotetycznie udałoby Ci się zrobić blacklistę, zawsze może przyjść nowa wersja HTMLa i Twoja strona będzie znowu podatna na atak. Blacklista w tym przypadku to 100% pewności na XSS prędzej czy później :>.
hmm... muszę to sobie jeszcze raz przemyśleć. Jeszcze takie pytanie, lepiej używać libsów PHP do generowania pdfów, czy korzystać z programów dostępnych na linuxa?.
Zdecydowanie zewnętrzny program.
Dzięki wielkie za pomoc!