Я пытаюсь добавить простой редактор WYSIWYG к тегу текстовой области на странице, но я также хочу предотвратить атаки сценариев между сайтами. К сожалению, эти два, похоже, не работают хорошо вместе. Я понимаю, что не будет «правильного» ответа на этот вопрос, но мне нужна помощь в размышлении над вопросами, которые необходимо рассмотреть здесь.
Вот выдержки из кода, поясняющие проблему: бит:
<html>
<head>
//I'm using NicEdit as my WYSIWYG editor
<script type="text/javascript" src="http://js.nicedit.com/nicEdit-latest.js"></script> <script type="text/javascript">
//<![CDATA[
bkLib.onDomLoaded(function() { nicEditors.allTextAreas() });
//]]>
</script>
</head>
<body>
<form action="<?php echo($TargetURL); ?>" method="POST">
<textarea id="fNotes" name="fNotes" style="width: 100%; height: 100px; ">
<?php
echo(htmlentities($show->Notes));
?>
</textarea>
</form>
</body>
</html>
$ shows-> Notes возвращает значение, введенное в fNotes при его сохранении.
Текст, который был сохранен, был примерно таким:
"Random <b>words</b> stuck in to test the text<br>"
Большое спасибо