édition de texte enrichi, code javascript intégré empêchent
https://stackoverflow.com/questions/3566016
-
01-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai fait un site web en utilisant le célèbre framework symfony. Je voulais ajouter riche en fonctionnalités d'édition à elle. Et j'ai trouvé éditeur TinyMCE. Mais il COMED un problème: comment à l'utilisateur intégrer un code javascript dans le contenu? tels que alert ( 'Bonjour tout le monde').
J'ai testé wordpress, qui est un logiciel de blog très célèbre. Il fait face au même problème. exemple .
Il n'y a pas de gros problème si quelqu'un incorporez un script d'alerte. Mais si elles intègrent un code dangereux? Avez-vous rencontré le même problème? Dois-je utiliser Markdown au lieu de html? Tout bon pour l'édition widget de démarquage?
La solution
Ne laissez pas tout javascript intégré dans votre entrée utilisateur. Cela est facile à nettoyer soit sur le client ou le serveur. Avoir une « liste blanche » des balises HTML que vous soutenez, et supprimer tout écouteur d'événements attributs de tout ce que vous ne permettez.
Autres conseils
Il est une bonne idée d'utiliser une bibliothèque existante pour nettoyer votre entrée de l'utilisateur, le projet purificateur html: http: // htmlpurifier. org / semble maintenue et bien fait.
