我使用tinyMCE将html内容添加到一个页面。当我添加以下代码时:
<p>\n[removed]// <![CDATA[\nalert("test")\n// ]]>[removed]\n</p>
并提交表格,文字改为:
tinymce.init({
selector: 'textarea:not(.mceNoEditor)',
allow_script_urls: true,
extended_valid_elements : "script[type|src]"
});
这是tinyMCE配置:
<g>
<svg>
<g><path/></g>
<g><circle/></g>
</svg>
</g>
并且,根据文档,它不应该删除脚本代码。
有什么想法吗?
答案 0 :(得分:0)
您可以添加此代码
tinyMCE.init({
extended_valid_elements : "extended_valid_elements : \"a[class|name|href|target|title|onclick|rel],script[type|src],iframe[src|style|width|height|scrolling|marginwidth|marginheight|frameborder],img[class|src|border=0|alt|title|hspace|vspace|width|height|align|onmouseover|onmouseout|name],$elements\","});
extended_valid_elements设置允许在tinyMCE中编写脚本tage。
答案 1 :(得分:0)
TinyMCE没有将字符串[removed]添加到您的内容中--TinyMCE中没有任何内容可以做到这一点。
我怀疑您的应用程序在保存内容时有代码可以清理HTML,因为允许JavaScript可以导致各种漏洞利用。检查框架的文档,看看是否有某种方法可以禁用某些字段的清理。据说确实知道,如果允许人们提交任意JavaScript ,你就会为自己打开不好的事情。