クライアントのWebサイトでリッチテキスト編集が必要な場合はどうしますか？

すでにご存知のとおり、XSS攻撃は危険であり、非常に簡単に実行できます。ASP.NET MVCのように、さまざまなフレームワークによりHTMLを簡単にエンコードできます。

<%= Html.Encode("string"); %>

しかし、クライアントがMicrosoft Word文書からコンテンツを直接アップロードできることを要求するとどうなりますか？

シナリオは次のとおりです。人々はMicrosoft WordからWYSIWYGエディター（この場合はtinyMCE）にコンテンツをコピーして貼り付け、その情報をWebページに投稿できます。

Webサイトは公開されていますが、その組織のメンバーのみがWebページに情報を投稿するアクセス権を持ちます。

これらの要件を安全に処理するにはどうすればよいですか？現在、クライアントが投稿した内容のチェックは行われていません（「信頼できる」ユーザーのみが投稿できるため）が、これには特に満足しておらず、アカウントがハッキングされた場合にさらにロックダウンしたいと思います。

これらの要件を満たすことがわかっている唯一の概念的な方法は、HTMLタグをホワイトリストに登録し、それらを通過させることです。別の方法はありますか？そうでない場合、ユーザーが任意の形式でデータベースに入力を保存できるようにする安全な方法は何ですか？

関連質問

クロスサイトスクリプティング（XSS）の防止

（開発者としての）最も簡単な方法は、おそらくMarkdownの多くのバリエーションの1つ、たとえばMarkdown.NETまたはさらに良い（imho）wmd-editorを実装することです。

その後、ユーザーは単純なHTMLを貼り付けることができますが、危険なことは何もありません。入力したデータをプレビューし、投稿する前でも問題を解決することができます。

ホワイトリストは、ユーザーが直接またはリッチテキストエディターを使用してHTMLを入力できるようにするときに、XSS攻撃を防ぐための最良の方法です。

他の質問について：

その場でホワイトリストに登録する機能を含むWYSIWYGエディターはありますか？

これがうまくいくとは思わない。これにはサーバー側のコードが必要で、RTEはクライアントで実行されます。

TinyMCEは必要に応じてタグをフィルタリングしますが、これはブラウザーで行われるため、信頼できません。extended_valid_elementsを参照してください。TinyMCE（Moxie）もホワイトリストを提案しています。こちらをご覧ください。

「プライベート投稿」専用であるため、これについても心配する必要があります

特別な理由がない限り、HTMLを常にフィルタリングする必要があります（非常にまれです）。いくつかの理由：a）今日の内部ユーザー向けの機能かもしれませんが、明日の一般向けかもしれませんb）不正アクセスの影響が少ない

それらを任意の形式でデータベースに保存するのに最適な方法ですが、適切にエンコードされ、不良タグを取り除いて表示するだけですか？

それが私が好む方法です。さまざまな理由で、データベースに挿入する前にユーザー入力を変更するのは好きではありません。

私も同じことをしています。TinyMCEを使用して、Word文書からの貼り付けを許可しています。サイトを管理している特定の人だけが、管理領域を介してこれを行うことができます。これは、ASP.Netメンバーシップによって保護されています。公開サイトに送信されたときにHTML.Encodeを実行するのは簡単です。

以下のコードは、データベースに配置する前に好きな場合に使用できますが、それがどのような影響を与えるかわからない場合があります。ホワイトリストを使用する必要がある場合があります。

 /// <summary>
    /// Strip HTML
    /// </summary>
    /// <param name="str"></param>
    /// <returns></returns>
    public static string StripHTML(string str)
    {
        //Strips the HTML tags from strHTML 
        System.Text.RegularExpressions.Regex objRegExp = new System.Text.RegularExpressions.Regex("<(.|\n)+?>");

        // Replace all tags with a space, otherwise words either side 
        // of a tag might be concatenated 
        string strOutput = objRegExp.Replace(str, " ");

        // Replace all < and > with < and > 
        strOutput = strOutput.Replace("<", "<");
        strOutput = strOutput.Replace(">", ">");

        return strOutput;
    }

1つのオプションは、.NET用のHTML編集コントロール（私が書いた）です。

これは.NET用のWYSIWYM HTMLエディターであり、要素を除くHTML要素のサブセットのみをサポートし<script>ます。そのため、ホワイトリストとして機能します。

内部で使用する場合（イントラネットサイトなど）、コントロールをWebページに埋め込むことができます。

Wordからの貼り付けのサポートを統合していませんが、その方向へのステップであるコンポーネントがあります。Docto HTMLコンバーターです。したがって、ASP.NETでドキュメントをHTMLに変換したり、エディターでHTMLを表示したりするために使用できるビルディングブロックがあります。

私のIMHOは、公開されるまでユーザーを信頼し続けます。

まあ、あなたのニーズを達成するための信頼できる方法はありません。たとえば、WYSIWYGエディターは、URL（間接使用トラック、違法コンテンツ）またはテキスト（違法テキスト、スペルミス、ミステキスト）の画像を挿入するフォームの保護に失敗します。

私の観点では、ユーザーを信頼できる場合は、すべてを許可し、危険なマークアップが存在する場合はユーザーに警告するだけです（エラーを防ぐため）。

信頼できない場合は、特別なマークアップ（Markdownなど）を使用してください。

私のプロジェクトでは、潜在的に危険なコンテンツに特別なタイプを使用し、そのようなコンテンツをレンダリングして受け入れる特別な方法を使用します。このコードはスレッドモデルで高い評価を得ており、非常に注目されています（たとえば、2つの独立したコーダーが各変更をレビューする必要がある、包括的なテストスイートがあるなど）。