我在使用HTMLPurifier php庫時遇到了問題。我在我的應用程序的所有文本區域使用名爲'Summernote'的所見即所得編輯器。所見即所得在純化後呈現的腳本標記
當寫內部sommernote喜歡的東西:
<script>alert('test');</script>
POST數據來作爲通過
<p><script>alert('test');</script></p>
然而,一旦這是通過HTMLPurifier跑了,它不會刪除腳本標籤被轉換成普通字符。所以當我在summernote中編輯這個文本時,它實際上運行腳本!
這裏是什麼處理到編輯器中的圖像:
這裏是如何存儲在數據庫中:
如果任何人有任何想法,請讓我知道!
編輯:另外,如果我禁用了Summernote所見即所得編輯器,使用HTMLPurifier進行清理時,將成功從textarea中刪除標籤。
這是問題(使用'輸出用htmlspecialchars()'來編輯),我完全忘了這個功能。萬分感謝! – 2014-09-30 19:14:00
甜。很高興你修好了它! :) – pinkgothic 2014-09-30 21:44:46