1
我有這個財產是HTML從TinyMCE的編輯保存:如何在CakePHP 2.2中輸出原始HTML?
<?php echo h($person['Person']['CurriculumVitae']); ?>
我怎樣才能把它顯示在網頁上,並渲染爲原始的HTML不是一個簡單的字符串?
A
回答
2
不要住變量在h(),別名爲htmlspecialchars(),其轉義HTML實體:
<?php echo $person['Person']['CurriculumVitae']; ?>
+0
這不是一個好主意,要麼是因爲現在可以通過此字段注入惡意代碼(如果根本沒有發生sanitazion)。 – burzum
+1
我並不反對,但OP確實要求* raw * - 沒有什麼比XSSed更原始! ;-)在我看來,消毒應該在(處理提交時)的路上發生,而不是出路。 –
2
只是爲了去除H()可能會解決你的問題,但它會打開,因爲潛在的安全漏洞使TinyMCE中的html保持不變的字段現在將成爲一個可能的安全漏洞。
我有完全相同的問題,並通過使用http://htmlpurifier.org/來解決tinymce HTML的輸出問題。我也寫了一個CakePHP插件。 https://github.com/burzum/HtmlPurifier
HtmlPurifier將允許您配置一組允許的Html元素,甚至是它的屬性。所以你可以例如指定允許href但class不是。
您需要爲HtmlPurifier創建一個配置,以匹配用戶使用TinyMce所做的任何操作。它會從用戶輸入的標記中刪除所有不允許的標記和屬性。
相關問題
- 1. 樹枝原始html輸出
- 2. 如何entitised HTML標籤轉換爲「原始」 HTML標籤CakePHP中
- 3. Python生成的RSS:輸出原始HTML?
- 4. 文字原始的HTML輸出
- 5. 如何輸出原始的HTML在外部JS文件
- 6. cakephp clean html輸出
- 7. 如何顯示HTML表格原始的SQL查詢輸出
- 8. 在ASP頁面中發出原始html?
- 9. 如何在CakePHP 2.2中使用haml-sass?
- 10. 如何在Go中轉換原始HTML?
- 11. 如何在PHP中回顯原始HTML?
- 12. 在Joomla中的原始輸出
- 13. 在CakePHP的2.2
- 14. symfony輸出原始圖像
- 15. CakePHP - 如何告訴控制器的操作輸出原始圖像頭?
- 16. 如何在反應中輸出原始括號`{}`?
- 17. 如何在emberjs模板中輸出變量的原始值
- 18. 如何在使用RazorEngine(不是來自MVC)時輸出原始html
- 19. 的NodeJS SHA1得到原始輸出(PHP SHA1原始輸出當量)
- 20. Drupal的形式API輸出原始的HTML
- 21. 如何在CREATE TYPE中使用原始的Postgres輸入/輸出功能?
- 22. CakePHP 3原始SQL查詢
- 23. 從WordPress REST API獲取原始HTML輸出
- 24. 格式化原始的HTML輸出的所有客戶端
- 25. 將原始差異文件轉換爲彩色html輸出
- 26. 如何從此Rails路由/幫助器輸出原始未轉義的html?
- 27. 加載原始組件的HTML輸出的Joomla
- 28. Mediawiki原始輸出與換行
- 29. Form Filter中的原始HTML
- 30. 如何在html中使用ruby輸出?
請不要刪除您的問題,除非這是一個完全不值得的問題。我花了5分鐘寫一個關於Persona模型關聯的問題的詳細答案,只讓它說「這個問題已被其作者刪除」。留下問題,並隨時自行回答,但不要刪除它。它可以幫助未來的人,而不僅僅是你。 – Dave