如果你使用tinymce,这是否意味着你必须在回发时处理HTML的解析(将数据保存到数据库时)?
即。你必须解析输出并确保没有回发hacky脚本,或者你能否将html转换为安全标记?
答案 0 :(得分:2)
您不能依赖客户端来确保其发布到您服务器的内容是安全的。
潜在攻击者很容易禁用这些客户端措施并提交他想要的任何危险内容。
因此,无论您在浏览器中使用哪种编辑器,始终都必须检查服务器端的内容。
答案 1 :(得分:0)
是的,永远!只要想想他们是否关闭了编辑器或者没有启用javascript。
答案 2 :(得分:0)
我们使用'有效元素'检查以确保我们只从编辑器中获取标准HTML。没有脚本,粘贴的标签上没有事件(例如带有onclick事件的锚标签)。只是无聊,普通的HTML。
http://wiki.moxiecode.com/index.php/TinyMCE:Configuration/valid_elements