Question

Я сделал сайт, используя известный фреймворк Symfony. Я хотел добавить богатую функцию редактирования к нему. И я нашел редактор TinyMCE. Но возникла проблема: как насчет того, чтобы пользователь встраивал некоторый код JavaScript в контент? например, оповещение («Привет, мир»).

Я тестировал WordPress, очень известную программу для блогов. Это сталкивается с той же проблемой. пример .

Нет ничего страшного, если кто-то вставит сценарий оповещения. Но что, если они вставят какой-нибудь опасный код? Сталкивались ли вы с той же проблемой? Должен ли я использовать уценку вместо HTML? Любой хороший виджет для редактирования уценки?

Alexander Kjäll · Answer 1 · 26 февраля 2013

Хорошая идея - использовать существующую библиотеку для очистки вашего пользовательского ввода, проект очистителя html: http://htmlpurifier.org/, кажется, поддерживается и хорошо сделан.

Robusto · Answer 2 · 25 августа 2010

Не допускайте никакого встроенного JavaScript в вашем пользовательском вводе. Это легко очистить либо на клиенте, либо на сервере. Получите «белый список» поддерживаемых вами HTML-тегов и удалите все атрибуты прослушивателя событий из того, что вы разрешаете.

редактирование текста, предотвращение встраивания кода JavaScript

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

редактирование текста, предотвращение встраивания кода JavaScript

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы