TinyMCE 文本编辑器安全 HTML
[英]TinyMCE Text editor security with HTML
问题描述
我正在使用来自 tinymce 的免费 JS 插件,并且有兴趣使用 tinymce 文本编辑器防止 HTML 注入。 我已将此属性添加到 INIT:
invalid_elements: 'script'(仅针对此示例)
然而什么也没有发生。 编辑器仍然“接受”脚本标签并将其传递下去。
我查看了https://www.tiny.cloud/docs/tinymce/6/content-filtering/#invalid_elements ,它应该可以工作,但添加后我看不到任何变化。
难道我做错了什么?
有没有办法用这个编辑器限制一些 HTML 元素?
关于如何使用该编辑器和防止恶意 HTML.. 的任何其他提示?
1 个解决方案
解决方案1
0 2022-05-03 18:25:42
TinyMCE 当然有多种配置选项来帮助您控制在编辑器中创建的内容,但您永远不能假设提供给您客户端的数据是“干净的”或“安全的”。 如果不法分子的目标是对您的系统造成损害,他们可以绕过您的前端及其所有验证。
您应该始终适当地配置您的前端。 TinyMCE 有多种配置选项来协助内容过滤/验证 ( https://www.tiny.cloud/docs/configure/content-filtering/ ) 以仅允许您想要创建的那些类型的标签等,包括:
- https://www.tiny.cloud/docs/configure/content-filtering/#valid_elements
- https://www.tiny.cloud/docs/configure/content-filtering/#extended_valid_elements
- https://www.tiny.cloud/docs/configure/content-filtering/#valid_children
- https://www.tiny.cloud/docs/configure/content-filtering/#schema
- https://www.tiny.cloud/docs/configure/content-filtering/#invalid_elements
但是,无论前端设计如何,您都应该始终在服务器上重新检查提交的内容以确保其安全。 根本没有办法解决这种需求。 什么构成“安全”可能是基于您的应用程序的用途和使用者的业务决策。
您可以使用许多不同的库在服务器端执行此类验证/清理,因此根据您的特定服务器端设置,您可以找到允许您“清理/净化”提交的库 HTML。
我会注意到 TinyMCE(默认情况下)不应在您的内容中允许<script>标记,因此这种行为很可能是由于您当前的配置造成的。
在不改变HTML源代码的情况下,在管理员TinyMCE编辑器中突出显示文本?
[英]Highlight text in the admin TinyMCE editor without altering the HTML source?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.