富文本编辑,防止嵌入javascript代码
我使用著名的symfony框架创建了一个网站。我想给它添加丰富的编辑功能。我找到了TinyMCE编辑。但是有一个问题:用户如何在内容中嵌入一些javascript代码?例如警报(“hello world”) 我测试了wordpress,这是一个非常著名的博客软件。它面临着同样的问题富文本编辑,防止嵌入javascript代码,javascript,xss,markdown,csrf,richtextediting,Javascript,Xss,Markdown,Csrf,Richtextediting,我使用著名的symfony框架创建了一个网站。我想给它添加丰富的编辑功能。我找到了TinyMCE编辑。但是有一个问题:用户如何在内容中嵌入一些javascript代码?例如警报(“hello world”) 我测试了wordpress,这是一个非常著名的博客软件。它面临着同样的问题 如果有人嵌入警报脚本,那没什么大不了的。但是如果他们嵌入了一些危险的代码呢?你遇到过同样的问题吗?我应该使用标记而不是html吗?有什么好的小部件可以进行降价编辑吗?不允许在用户输入中嵌入任何javascript。这
如果有人嵌入警报脚本,那没什么大不了的。但是如果他们嵌入了一些危险的代码呢?你遇到过同样的问题吗?我应该使用标记而不是html吗?有什么好的小部件可以进行降价编辑吗?不允许在用户输入中嵌入任何javascript。这很容易在客户端或服务器上清除。拥有您支持的HTML标记的“白名单”,并从您允许的范围内删除任何事件侦听器属性。最好使用现有的库来清除您的用户输入,HTML净化器项目:看起来维护良好