Javascript TinyMce允许所有Html标记

我正在使用TinyMce，尽管存在脚本攻击的危险，但我需要使用编辑器启用所有html标记

目前，我的使用方式如下：

valid_elements: "@[class],p[style],h3,h4,h5,h6,a[href|target],strong/b,"
              + "div[align],br,table,tbody,thead,tr,td,ul,ol,li,img[src]"

但总是需要添加一些东西，我想启用所有属性的所有HTML标记。是否存在禁用HTML筛选的开关？

您可以设置

valid_elements : '*[*]',

---

若要允许所有html标记。

若要保留样式标记，请使用

有效的子项：“+body[style]”

我正在使用此项的一个变体：value\u元素：“+*[*]”，因为加号使我可以拥有没有子项的标记。就像在夹层/django/twitter引导组合上的tinymce编辑器的上下文中一样。@sw。你的意思是

有效元素：'+*[*]'，

@LeftyX是的，对不起。它是有效的元素，没有价值的元素。我添加了这个元素，但它仍然删除了doctype、html和head。如何在tinyMCE中保留

标记，因为它删除了

标记。这是一个等待发生的安全噩梦。。。这意味着您将允许任意HTML代码进入您的程序。这是XSS的梦想！在我的例子中，我在桌面应用程序的JxBrowser实例上使用tinyMCE，它不应该受到XSS的影响。我确实理解其中隐含的风险，但如果您真的确定可以选择允许所有标记（甚至）作为输入，那就太好了。此解决方案也适用于带有TinyMCE富文本编辑器的modx。只需将

*[*]

放在mce系统设置的有效元素字段中。请把这个作为一个评论，我的观点是不够的。