WYSIWYG-редактор с «добавить пользовательскую функцию HTML» и безопасный (проверенный) вывод HTML? - PullRequest
Новая
       13

WYSIWYG-редактор с «добавить пользовательскую функцию HTML» и безопасный (проверенный) вывод HTML?

1 голос
/ 27 марта 2010

Я просматривал некоторые из редакторов WYSIWYG (TinyMCE, FCKEditor и т. Д.), И все они, кажется, предлагают множество вариантов.

Однако, одной из жизненно важных функций, которой, похоже, не хватает, являетсяпростая опция «добавить пользовательский html», которая позволит пользователю вводить любые из этих встраиваемых фрагментов, которые вы найдете сейчас в Интернете, например, видео на YouTube.Это отличается от функции «редактировать html / source», поскольку требует фактического знания html, и существует риск написания пользователем недопустимого кода.

Еще одна проблема, о которой я не могу найти много, - это выводHTML.Как я могу убедиться, что этот вывод не вызывает никаких уязвимостей безопасности?Даже когда у пользователя есть возможность добавить свой собственный html?

Итак, в принципе, есть ли редактор WYSIWYG с открытым исходным кодом, который охватывает эти 2 функции?

Ответы [ 2 ]

2 голосов
/ 27 марта 2010

FCKEditor достигает этого с помощью плагинов. например http://sourceforge.net/projects/youtubepluginfo/

1 голос
/ 27 марта 2010

Для первой части у вас либо есть представление редактора «Просмотр источника», либо, если оно слишком сложное, я уверен, что такие плагины уже существуют для всех основных редакторов.Если этого не произойдет, то создание плагина «вставка произвольного HTML» должно быть легко реализовано путем настройки другого простого плагина, такого как youTube, на который есть ссылка в ответе Мартина.

Вторую часть - дезинфекцию входящего HTML - невозможно выполнить в самом редакторе WYSIWYG, поскольку он действует исключительно на стороне клиента и заполняет содержимое входными данными формы, которыми можно манипулировать, даже еслиотключите функцию «пользовательский HTML» в редакторе.

Поэтому для очистки HTML необходимо на стороне сервера.Если вы можете использовать PHP, инструмент, который выглядит очень хорошо для меня со стороны - я не работал с ним, но планирую в ближайшее время - это HTML Purifier .Он утверждает, что производит надежный HTML с минимальными хлопотами.

...