2
如果使用tinymce,是否意味着您必須在回發時處理HTML的解析(將數據保存到數據庫時)?,你必須處理HTML標記?
即你必須解析輸出,並確保沒有hacky腳本被回發,或者你能否將tinymce轉換成安全標記的html?
A
回答
0
是的,總是!!!試想如果他們關閉編輯器或者沒有啓用javascript。
2
您永遠不能依靠客戶端來確保它發佈到服務器的內容是安全的。
對於潛在的攻擊者來說,這很容易禁用這些客戶端措施並提交他想要的任何危險內容。
因此,您將總是必須檢查您的服務器端的內容,無論您在瀏覽器中使用什麼編輯器。
0
我們使用'有效元素'檢查來確保我們只從編輯器中獲得標準HTML。沒有腳本,粘貼標籤上沒有事件(例如,帶有onclick事件的錨標籤)。無聊的,普通的HTML。
http://wiki.moxiecode.com/index.php/TinyMCE:Configuration/valid_elements
相關問題
- 1. 爲什麼你必須處理()一個java.awt.Window超出範圍?
- 2. 你是否必須在你的html腳本標籤中包含.jsx?
- 3. HTML元標記必須關閉或不在XHTML中?
- 4. 處理必須/應該在Elasticsearch
- 5. 我必須處理會話垃圾嗎?
- 6. 我是否必須處理Process.Start(url)?
- 7. HTML輸入標記的文件處理
- 8. 在C中處理HTML標記#
- 9. Angular2錯誤標記必須定義
- 10. JSX必須用封閉標記錯誤
- 11. 我必須包含html標籤嗎?
- 12. MemoryStream必須明確處置?
- 13. 你如何處理舊記錄?
- 14. 瀏覽器如何處理沒有html標記的html頁面?
- 15. 你必須設置單身'Umbraco.Core.Persistence.SqlSyntax.SyntaxConfig'
- 16. 你必須使用微內核嗎?
- 17. 使用setTimeout時,你必須clearTimeout?
- 18. JSONP是你的API必須的嗎?
- 19. 驗證不受信任的HTML輸入是否必須處理每個輸入?
- 20. 清理HTML標記屬性
- 21. 如何知道您是否必須或可以關閉HTML 5中的標記?
- 22. 在mojolicious處理錨標記
- 23. PHP MP3標記處理
- 24. php:處理選擇標記
- 25. 必須聲明可變標
- 26. 必須聲明標量
- 27. Java&SQL - 批處理必須執行或清除批處理時出錯
- 28. NetBeans - 每次必須調試時都必須清理構建
- 29. 你有2個app.css文件嗎?還是你必須合併?
- 30. 你怎麼知道你必須使用function(){}?
tinyMCE.activeEditor.hide() - 瞧,一個純文本區域,自由編輯。永遠不要相信用戶內容 – Piskvor