TinyMCE 文本編輯器安全 HTML
[英]TinyMCE Text editor security with HTML
問題描述
我正在使用來自 tinymce 的免費 JS 插件,並且有興趣使用 tinymce 文本編輯器防止 HTML 注入。 我已將此屬性添加到 INIT:
invalid_elements: 'script'(僅針對此示例)
然而什么也沒有發生。 編輯器仍然“接受”腳本標簽並將其傳遞下去。
我查看了https://www.tiny.cloud/docs/tinymce/6/content-filtering/#invalid_elements ,它應該可以工作,但添加后我看不到任何變化。
難道我做錯了什么?
有沒有辦法用這個編輯器限制一些 HTML 元素?
關於如何使用該編輯器和防止惡意 HTML.. 的任何其他提示?
1 個解決方案
解決方案1
0 2022-05-03 18:25:42
TinyMCE 當然有多種配置選項來幫助您控制在編輯器中創建的內容,但您永遠不能假設提供給您客戶端的數據是“干凈的”或“安全的”。 如果不法分子的目標是對您的系統造成損害,他們可以繞過您的前端及其所有驗證。
您應該始終適當地配置您的前端。 TinyMCE 有多種配置選項來協助內容過濾/驗證 ( https://www.tiny.cloud/docs/configure/content-filtering/ ) 以僅允許您想要創建的那些類型的標簽等,包括:
- https://www.tiny.cloud/docs/configure/content-filtering/#valid_elements
- https://www.tiny.cloud/docs/configure/content-filtering/#extended_valid_elements
- https://www.tiny.cloud/docs/configure/content-filtering/#valid_children
- https://www.tiny.cloud/docs/configure/content-filtering/#schema
- https://www.tiny.cloud/docs/configure/content-filtering/#invalid_elements
但是,無論前端設計如何,您都應該始終在服務器上重新檢查提交的內容以確保其安全。 根本沒有辦法解決這種需求。 什么構成“安全”可能是基於您的應用程序的用途和使用者的業務決策。
您可以使用許多不同的庫在服務器端執行此類驗證/清理,因此根據您的特定服務器端設置,您可以找到允許您“清理/凈化”提交的庫 HTML。
我會注意到 TinyMCE(默認情況下)不應在您的內容中允許<script>標記,因此這種行為很可能是由於您當前的配置造成的。
在不改變HTML源代碼的情況下,在管理員TinyMCE編輯器中突出顯示文本?
[英]Highlight text in the admin TinyMCE editor without altering the HTML source?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.