ckeditor というHTMLエディタをサイトに設置しようと思ったのですが、
調べてみたところ、
=====
只、ビジュアルエディターをサイトに設置するとセキュリティリスクが発生しますので、管理者ページや会員専用ページ等でのみ使用するようにして下さい。
=====
という文章を見かけました。
悪意のあるユーザーに、セキュリティを侵害される危険があるということで、
自身のサイトが管理されているサーバーではなく、
たとえばHTMLエディタ専用のサーバーに設置するなどすれば平気でしょうか。
エディタをサイトに設置するのがどのくらい危険なのか、教えてください。
みんなの回答 6 件
htmlエディタ専用のサーバーとか無いでしょ…
まず何に使うの?
ブログなら管理画面内だろうし…コメント欄に設置したいのかな?
だとしたら、へんなスクリプトを仕込まれて送信されると困るからかな…禁止すればいいんだと思うけど。
なんにせよ、何で危険なのかを知らない事には解決にならないよね。
XSS
バリデート
サニタイズ
この辺ピンとこないなら、損害賠償レベルで危険だとだけお伝えしよう。
不特定多数の人間がタグを埋め込めるという事がどういう事か、理解できないのなら使うべきではない。
質問の内容はWEB制作やってれば基本中の基本みたいなことだし、そこらへんの入門書1冊ぐらい目を通したらいいんじゃないかな。
ckfinderも一緒に設置した場合、最悪ファイルをアップしてサーバーを乗っ取られる。これは、管理画面に限定してても、ckfinder自体に認証かけとかないと発生する。
皆様ありがとうございます。
エディターの編集画面を利用する場合、ネットに公開せず、友達にはckeditor のHTMLデータを送り、ネット経由ではなく、直接パソコンでHTMLデータを開いてもらい、ブログ文章を編集する方法を考えてみます。
それなら安全と思うのですが、どうでしょうか。
関連するトピックス