Есть ли какой-нибудь плагин / способ отключить java-скрипт внутри tinymce?Я не хочу, чтобы люди разрешали теги или любые встроенные java-скрипты.
Проверьте параметр valid_elements :
Параметр valid_elements определяет, какие элементы останутся в отредактированном тексте при сохранении редактора.Вы можете использовать это, чтобы ограничить возвращаемый HTML подмножеством. Этот параметр содержит разделенный запятыми список блоков преобразования элементов.Каждый блок содержит информацию о том, как следует обрабатывать один элемент и его атрибуты.Набор правил по умолчанию для этой опции указан ниже.
Параметр valid_elements определяет, какие элементы останутся в отредактированном тексте при сохранении редактора.Вы можете использовать это, чтобы ограничить возвращаемый HTML подмножеством.
Этот параметр содержит разделенный запятыми список блоков преобразования элементов.Каждый блок содержит информацию о том, как следует обрабатывать один элемент и его атрибуты.Набор правил по умолчанию для этой опции указан ниже.
Эта проблема была поднята как проблема уязвимости безопасности, и мы использовали версию 3.4.9 tinymce. Используя приведенный ниже фрагмент, мы исправили эту проблему.
tinyMCE.init({ invalid_elements : "script", });
См. Tinymce wiki http://www.tinymce.com/wiki.php/Configuration:invalid_elements