Question

Если вы используете tinymce, значит ли это, что вам придется обрабатывать разбор HTML на обратной передаче (при сохранении данных в БД)?

т.е. Вы должны проанализировать вывод и убедиться, что никакой хакерский скрипт не был отправлен обратно, или вы можете сделать так, чтобы tinymce конвертировал html в безопасную разметку?

Joachim Sauer · Answer 1 · 23 октября 2009

Вы никогда не можете положиться на клиента, чтобы убедиться, что контент, который он публикует на вашем сервере, является безопасным.

Слишком легко потенциальному злоумышленнику отключить эти меры на стороне клиента и отправить любой опасный контент, который он хочет.

Поэтому вам всегда придется проверять свой контент на стороне сервера, независимо от того, какой редактор вы используете в браузере.

jqa · Answer 2 · 03 ноября 2009

Мы используем проверку «допустимые элементы», чтобы гарантировать, что мы получаем только стандартный HTML из редактора. Нет скриптов, нет событий в тегах, вставленных в (например, теги привязки с событиями onclick). Просто скучный, обычный HTML.

http://wiki.moxiecode.com/index.php/TinyMCE:Configuration/valid_elements

Daniel A. White · Answer 3 · 23 октября 2009

Да, всегда !!! Подумайте, выключили ли они редактор или не включили JavaScript.

с tinymce, вы должны обрабатывать HTML-разметку?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

с tinymce, вы должны обрабатывать HTML-разметку?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов