僅使用HTML編輯器而不是Textarea安全嗎？

Question

我正在考慮將我的論壇輸入textarea專門轉換爲TinyMCE HTML編輯器。我已經有兩個選項，但它是一個痛苦的維護和插入圖像在textarea需要預覽等...

這是一個更普遍的問題。作爲論壇上唯一的編輯器，你認爲包含HTML編輯器（包括所有安全措施，如僅粘貼文本，過濾不允許的HTML等）是安全的嗎？這是2011年，機器通常很快，連接更好。

使用HTMl編輯器代替文本字段有什麼缺點？我無法想象一個博客CMS有「正常」textarea輸入。

但由於某些原因，在論壇上我沒有看到很多html編輯器...即使是TinyMCE網站也有一個textarea供他們的編輯使用。那麼真的有什麼值得注意的嗎？一個不去...？

我知道它更是一個phylosophical問題，但我猜你有論壇，博客等體驗...

我的網站是關於烹飪和beeing能夠插入圖片（和上傳）的簡單的方式似乎是我們的家庭廚師的一大優點;-)

Answer 1

如果你不考慮安全性（你需要過濾服務器端的HTML輸入，所以它不會包含任何危險），只有用戶體驗纔有待考慮。在一個論壇上，你大部分時間都會寫文字。很少有任何用於更多功能比大膽，斜體和圖像。 Stack Overflow在這裏使用的解決方案是通過使用一組非常有限的函數來解決這個問題，並將其用於一個理智的標記語言的textarea中。

其他論壇要麼使用舊軟件，要麼沒有認爲改進的用戶體驗是值得的。 textarea-only解決方案適用於大多數論壇，因爲大多數輸入都是純文本的。

我認爲你會從HTML輸入中受益。確保只允許發送允許的HTML，因爲用戶可以規避客戶端的所有內容。

Answer 2

TinyMCE使用Javascript將功能添加到現有的textarea。如果JavaScript被禁用，那麼用戶將會看到正常的textarea。

我會說這是相對安全的，只要用戶的所有輸入在服務器上進行驗證後再用於任何事情。