Javascript TinyMce允许所有Html标记
我正在使用TinyMce,尽管存在脚本攻击的危险,但我需要使用编辑器启用所有html标记 目前,我的使用方式如下:Javascript TinyMce允许所有Html标记,javascript,html,tinymce,wysiwyg,Javascript,Html,Tinymce,Wysiwyg,我正在使用TinyMce,尽管存在脚本攻击的危险,但我需要使用编辑器启用所有html标记 目前,我的使用方式如下: valid_elements: "@[class],p[style],h3,h4,h5,h6,a[href|target],strong/b," + "div[align],br,table,tbody,thead,tr,td,ul,ol,li,img[src]" 但总是需要添加一些东西,我想启用所有属性的所有HTML标记。是否存在禁用HTML筛选的开
valid_elements: "@[class],p[style],h3,h4,h5,h6,a[href|target],strong/b,"
+ "div[align],br,table,tbody,thead,tr,td,ul,ol,li,img[src]"
但总是需要添加一些东西,我想启用所有属性的所有HTML标记。是否存在禁用HTML筛选的开关?您可以设置
valid_elements : '*[*]',
若要允许所有html标记。若要保留样式标记,请使用
有效的子项:“+body[style]”
我正在使用此项的一个变体:value\u元素:“+*[*]”,因为加号使我可以拥有没有子项的标记。就像在夹层/django/twitter引导组合上的tinymce编辑器的上下文中一样。@sw。你的意思是有效元素:'+*[*]',
@LeftyX是的,对不起。它是有效的元素,没有价值的元素。我添加了这个元素,但它仍然删除了doctype、html和head。如何在tinyMCE中保留
标记,因为它删除了
标记。这是一个等待发生的安全噩梦。。。这意味着您将允许任意HTML代码进入您的程序。这是XSS的梦想!在我的例子中,我在桌面应用程序的JxBrowser实例上使用tinyMCE,它不应该受到XSS的影响。我确实理解其中隐含的风险,但如果您真的确定可以选择允许所有标记(甚至)作为输入,那就太好了。此解决方案也适用于带有TinyMCE富文本编辑器的modx。只需将*[*]
放在mce系统设置的有效元素字段中。请把这个作为一个评论,我的观点是不够的。