[英]rich text editing, prevent embeded javascript code
我使用著名的symfony框架創建了一個網站。 我想為其添加豐富的編輯功能。 我找到了TinyMCE編輯器。 但是出現了一個問題:用戶如何在內容中嵌入一些javascript代碼? 例如alert('hello world')。
我測試了wordpress,這是一個非常著名的博客軟件。 它面臨着同樣的問題。 例子
如果有人嵌入了警報腳本,這沒什么大不了的。 但是,如果他們嵌入了一些危險的代碼怎么辦? 您是否遇到過同樣的問題? 我應該使用markdown而不是html嗎? 有什么好的Markdown編輯小部件?
最好使用現有的庫來清理您的用戶輸入,即html purifier項目: http : //htmlpurifier.org/似乎維護得很好。
禁止在用戶輸入中使用任何嵌入式JavaScript。 這很容易在客戶端或服務器上清除。 有一個您支持的HTML標簽“白名單”,並從您允許的所有內容中刪除所有事件偵聽器屬性。
這是帶有豐富文本編輯選項的文本框的bes javascript庫
[英]which is the bes javascript library for text box with rich text editing options
如何防止javascript並行運行一些代碼編輯文件?
[英]How to prevent javascript from running in parallel some code editing the document?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
