Actualmente, estoy trabajando en un CMS / Framework que desarrollé similar a Wordpress, en el sentido de que es una plataforma para que los administradores creen / publiquen contenido para los usuarios.
Estoy guardando el HTML generado por los campos del editor en mi base de datos y enlazando el HTML dentro de mi respuesta JSON en el cliente para que se muestre una vez que se recupere. Sin embargo, muchas veces, se realiza una gran cantidad de desinfección para mostrar el HTML para proteger contra los ataques XSS. Lo cual definitivamente entiendo por qué.
Sin embargo, en este caso donde el administrador del sitio está generando el contenido. Siempre que los administradores tomen otras medidas de seguridad (como proteger sus cuentas con contraseñas seguras y sus servidores) y no sean malintencionados, es seguro decir que el HTML es confiable y que no debe considerarse vulnerable. a XSS correcto? Pronto escribiré documentación sobre el marco, y me gustaría comentar algunas de las advertencias que pueda tener el marco, para que los desarrolladores estén al tanto.
Cualquier consejo sería apreciado. O si hay algún otro agujero de seguridad importante que deba vigilar, hágamelo saber.
¡Gracias!