rich text editing, prevenire incorporato codice javascript
https://stackoverflow.com/questions/3566016
-
01-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho fatto un sito web utilizzando il framework symfony famoso. Volevo aggiungere ricco di funzionalità di modifica ad esso. E ho trovato l'editor TinyMCE. Ma c'è Comed un problema: come circa l'utente incorporare un codice javascript nella contenuti? come ad esempio alert ( 'ciao mondo').
ho provato wordpress, che è un famoso software per blog. Affronta lo stesso problema. esempio .
Non è un grosso problema se qualcuno incorporare uno script di avviso. Ma cosa succede se incorporare un codice pericoloso? Avete incontrato lo stesso problema? Dovrei usare Markdown invece di html? Qualsiasi buon Widget per Markdown editing?
Soluzione
non consentono alcuna JavaScript incorporato nel vostro input dell'utente. Questo è facile da pulire sia sul client o server. Avere una "lista bianca" dei tag HTML sostenete, e rimuovere qualsiasi listener di eventi attributi da qualunque cosa tu faccia permetti.
Altri suggerimenti
E 'una buona idea di utilizzare una libreria esistente per ripulire l'input dell'utente, il progetto depuratore HTML: http: // htmlpurifier. org / sembra curato e ben fatto.
