标签: tinymce xss
我正在使用TinyMCE编辑器的网站上工作,以允许用户添加和编写自己的内容。
无论如何,一切似乎都没问题,直到他们尝试使用<iframe>嵌入视频时提交表单Google Chrome将此代码视为恶意脚本并阻止页面运行,刷新会绕过此
<iframe>
在我的标题中,我可以将X-XSS-Protection: 1; mode=block更改为不阻止XSS,但这似乎有点不安全,并没有太大的解决方案。
X-XSS-Protection: 1; mode=block
有没有办法为TinyMCE编辑器列出白名单?
基本上WordPress等是如何解决这个问题的?