如果使用tinymce,是否意味着您必須在回發時處理HTML的解析(將數據保存到數據庫時)?,你必須處理HTML標記?
即你必須解析輸出,並確保沒有hacky腳本被回發,或者你能否將tinymce轉換成安全標記的html?
如果使用tinymce,是否意味着您必須在回發時處理HTML的解析(將數據保存到數據庫時)?,你必須處理HTML標記?
即你必須解析輸出,並確保沒有hacky腳本被回發,或者你能否將tinymce轉換成安全標記的html?
是的,總是!!!試想如果他們關閉編輯器或者沒有啓用javascript。
您永遠不能依靠客戶端來確保它發佈到服務器的內容是安全的。
對於潛在的攻擊者來說,這很容易禁用這些客戶端措施並提交他想要的任何危險內容。
因此,您將總是必須檢查您的服務器端的內容,無論您在瀏覽器中使用什麼編輯器。
我們使用'有效元素'檢查來確保我們只從編輯器中獲得標準HTML。沒有腳本,粘貼標籤上沒有事件(例如,帶有onclick事件的錨標籤)。無聊的,普通的HTML。
http://wiki.moxiecode.com/index.php/TinyMCE:Configuration/valid_elements
tinyMCE.activeEditor.hide() - 瞧,一個純文本區域,自由編輯。永遠不要相信用戶內容 – Piskvor