感谢您查看
在我的社交网站中,我使用summernote进行评论和发帖。然后我使用htmlpurifier来清理用户帖子。但我想允许用户从hulkshare添加音乐。由于summernote不支持它,我想通过在summernote的codeview中粘贴来自hulkshare的iframe代码来允许用户这样做。
请htmlpurifire足够强大,以保护我的网站免受用户的XSS攻击。
答案 0 :(得分:3)
HTMLPurifier逻辑上会删除任何iframe,因此无法正常工作。为什么不为此创建一个特定于您的网站的新HTML标记。类似的东西:
<yourwebsite-music source="hulkshare" id="1234"/>
然后设置HTMLpurifier以保留此标记,并使用PHP自行渲染(通过用iframe替换标记)。这样做还可以让您稍后添加其他媒体资源,并且可以让您更好地控制用户帖子中发生的事情。
答案 1 :(得分:0)
有许多html净化器库,您可以在其中指定禁止/允许的标签。我建议你查看它们并选择最适合你的情况。