我正在寻找一个WYSIWYG,它允许我指定textarea中允许的HTML标签的白名单并呈现它们,同时丢弃其他任何内容。如果用户手动复制和粘贴内容或编辑HTML,则需要运行此验证。
类似于HTML Purifier,但在Javascript WYSIWYG中。
我玩过CKEditor的dataProcessor.dataFilter设置,但是需要将每个标签列为EXCLUDE,因此它是黑名单而不是白名单。
有什么想法吗?
修改...
请不要只是建议使用{xyz}编辑器。我正在寻找代码示例的建议,显示如何以这种方式使用建议的编辑器。
答案 0 :(得分:0)
使用tinyMCE,您可以列出valid elements,invalid elements和extended valid elements
您可以查看这些代码并通过查看examples
在tinyMCE网站上播放配置选项提交表单或按下删除格式设置按钮(as in this example)后,将运行验证并提取所有无效格式。
您必须小心,因为这并不能确保恶意用户不会直接向您发送无效的HTML并试图导致XSS attack。这意味着如果您打算再次向用户提供html,则仍需要在服务器端进行验证。