Security Tinymce注入安全性

我有一个公共编辑器，用户可以在其中使用

TinyMCE

共享注释，但我想防止他们在这个编辑器中插入

JavaScript

或

SQL

（任何类型的脚本）

所以我的问题是：怎么做

这是我的编辑器代码

<script src="{{asset('js/tinymce/tinymce.min.js')}}"></script>
<script>
    $(document).ready(function() {
      tinymce.init({
        selector: '.editor',
        toolbar: [
        'bold italic alignleft aligncenter alignright | bullist numlist outdent indent blockquote | removeformat underline strikethrough subscript superscript | hr | link unlink | table',
        'fontselect formatselect fontsizeselect forecolor backcolor'
        ],
        plugins: 'advlist, lists, image, codesample, imagetools, wordcount, link, colorpicker,table,textcolor,hr',
        menubar: false,
        advlist_bullet_styles: 'square',
        advlist_number_styles: 'lower-alpha,lower-roman,upper-alpha,upper-roman',
        branding: false,
        height : 300,
        removed_menuitems: 'tools, insert, view',
        browser_spellcheck: true,
        contextmenu: false
      });
    });
</script>

$（文档）.ready（函数（）{
tinymce.init({
选择器：'.editor'，
工具栏：[
“粗体斜体对齐左对齐中对齐右|粗体numlist outdent indent blockquote |删除格式下划线删除线下标上标| hr |链接取消链接|表格”，
'字体选择格式选择字体大小选择前景色背景色'
],
插件：“advlist，list，image，codesample，imagetools，wordcount，link，colorpocker，table，textcolor，hr”，
梅努巴：错，
advlist_bullet_样式：“方形”，
advlist_number_样式：“下阿尔法、下罗马、上阿尔法、上罗马”，
品牌：错，
身高：300，
已删除菜单项：“工具、插入、视图”，
浏览器拼写检查：true，
上下文菜单：false
});
});

---

有一个名为AntiXSS的公共类，您可以像下面这样使用它

string safeHtml = AntiXss.GetSafeHtmlFragment(html);

---

通常在您的情况下，由于SQLi的主体，SQL注入不会成为威胁。

有一个名为AntiXSS的公共类，您可以像下面这样使用它

string safeHtml = AntiXss.GetSafeHtmlFragment(html);

---

通常在您的情况下，由于SQLi的原则，SQL注入不会成为威胁。

我只是将其添加到脚本中？我们应该如何测试它？在后端使用它。如果您想进行测试，您可以尝试在运行web服务时输入类似alet（xss）的内容？我们应该如何测试它？在后端使用它。如果要进行测试，可以尝试在运行web服务时输入类似alet（xss）的内容。