Отображение ввода пользователя на моей странице

Question

В нашем приложении мы позволяем пользователю писать свои Био, используя редактор WYSIWYG, но он часто содержит плохой HTML, который ломает нашу страницу. Является ли хорошей идеей показывать биографию пользователя внутри iframe, чтобы она не влияла на остальную часть страницы? Или есть варианты получше?

Спасибо

Answer 1

Возможно, вы захотите ограничить пользователей Уценкой , точно так же, как Переполнение стека используется для профилей, ответов и т. Д. .

Для дальнейшего чтения вы можете проверить следующее:

• Переполнение стека: «безопасный» процессор уценки для PHP?
• ОМУ: Редактор уценок Wysiwym
• PHP Markdown
• Переполнение стека: запуск сервера showdown.js для преобразования Markdown в HTML (в PHP)

Answer 2

Решением будет фильтрация HTML, чтобы убедиться, что все в порядке:

• Действительный HTML
• Содержит только те теги, которые вы хотите разрешить
• И не вызывает проблем с безопасностью.

Отличный инструмент для этого - HTMLPurifier (цитирование) :

HTML Purifier соответствует стандартам Библиотека HTML-фильтров написана на PHP. HTML Purifier не только удалит все вредоносный код (более известный как XSS) с тщательно проверенным, безопасным еще разрешительный белый список, он также будет убедитесь, что ваши документы соответствует стандартам

Как правило, после того, как пользователь ввел HTML-код, перед сохранением его в базе данных вы передадите его через очиститель HTML, который проверит его действительность, и удалите любой тег / атрибут, который вы не указали. как «разрешено» .

Answer 3

Это неплохая идея, но почему бы вам не проверить HTML, прежде чем сохранить его? Или это не плохо просто безобразно? У большинства редакторов есть чистое форматирование офиса. Или это деловое требование, разрешающее ввод HTML?

Но если iframe - самый безопасный способ сделать это, я бы сказал, пойти на это!