Как безопасно добавить контент страницы через CMS?

Question

Если бы я создал собственную CMS, которая позволяла бы кому-нибудь войти в систему и создать страницу с помощью WYSIWYG, можно ли было бы сделать ее безопасной и разрешить использование кода JavaScript в содержимом?Есть моменты, когда кто-то хочет добавить код для встраивания видео или виджет, который захватывает RSS-канал, эти коды для встраивания и виджеты находятся в JavaScript.Итак, как я могу позволить им добавить это на свою страницу через CMS?Моя главная проблема - XSS / уязвимости.

Answer 1

Вы можете хранить теги со ссылками на виджеты в вашем расширенном текстовом содержимом, например <video>id</video>, и отображать JavaScript только во внешнем интерфейсе ... или вы можете использовать любую из современных CMS с плагинами для видео ивиджеты, которые уже решили проблему для вас.